くらめその情シス“技”【番外編】:OneLogin DesktopでMacのデスクトップ認証を行う

クラスメソッドでIT推進室室長を務める植木氏。社内ツールやサービスの導入、見直しをする情シスの親分ともいえる存在。そんな植木氏のクラスメソッドでの取り組みを紹介する「くらめその情シス”技”」。一人情シスやゼロ情シスで頭を抱えている情シスさんのヒントにしてはいかがでしょうか? 前回に引き続き、番外編としてMacでのデスクトップ認証について紹介します。


くらめその情シス“技”【番外編】
OneLogin DesktopでmacOSのデスクトップ認証をOneLoginユーザーで行う

前回はMacでのAD認証についてご紹介しましたが、今回は社内ユーザー管理システム見直しのために行った検証報告になります。

ご存じのようにクラスメソッドではActive Directory(AD)を使って社内ユーザー管理を行っています。このユーザーをサテライトオフィスSSOやAzureADと同期することで、複数のサービスで同一のID・パスワード管理を行うことができています。ADのパスワードをポリシーで強化することで、安易なパスワード利用を防ごうというのが狙いです。

ADといえば、普通はWindows端末をデスクトップ認証するための仕組みです。クラスメソッドでも2013年頃までは社内にWindows機が多く、また全員が本社に出勤することが当たり前だったため、キチンとADとしての役割を持っていました。

しかし2018年現在、社内の7割はMac機になり、おそらく社内の7〜8割の人は週に最低数日はリモートワークを行っている状況です。またWindowsファイルサーバーもGoogle Driveへの移行を推進したことから、ADの必要性が徐々に薄れているという状況です。

そんななか、クラウド型ID管理サービス「OneLogin」にOneLogin DesktopというWindowsやMacのデスクトップ認証をOneLoginで行える機能があることを知りました。

この機能を利用すれば、リモートワークなど社内ADに繋がらない環境においても(キャッシュに頼らない)認証ができるのでは? さらに端末認証も組み合わせることでセキュリティ強化ができるのでは?と考え、早速試してみることにしました。

ちなみにOneLogin Desktopの価格は、「$4 ユーザー/月」のアドオンです。

参考:検証環境

  • macOS Mojave 10.14.1
  • OneLogin Desktop For Mac 3.0.55

設定

  • Macにユーザーを作成する
  • OneLogin Desktop For Macを有効にする
  • MacにOneLogin Desktopをインストール

Macにユーザーを作成する

まず始めにMacにユーザーを作成します。管理者権限でログインし、今回は Kazuki Ueki というユーザーを作成しました。 このユーザー後ほどMacのインストーラーによる設定変更も行うので管理者権限を与えておきます。 また動作確認時にわかりやすくするため、このユーザーのパスワードとOneLoginのユーザーのパスワードは異なるものにしておくと良いでしょう。

尚、検証する場合はご自身のユーザーでなく、テスト用ログインユーザーを使ってください。何かあってログインできなくなってしまうことがないとも言えません。

OneLogin Desktop For Macを有効にする

OneLoginに管理者ユーザーでログインします。

管理者メニューから ”DEVICESOneLogin Desktop” をクリックします。

”Mac”をクリックし、下図のように機能を有効にします。またDOWNLOADリンクからOneLogin Desktopのインストーラーをダウンロードしておきましょう。

ダウンロードしたインストーラーを社内の共有フォルダに置いて利用しても良いですし、図のようにEnable Downloadを有効にしておけば各ユーザーがOneLoginプロフィール画面からダウンロードすることもできます。

MacにOneLogin Desktopをインストール

インストーラー(DMGファイル)をダブルクリックするとファイルが展開されます。”OneLogin”をダブルクリックします。警告がでますが「開く」をクリックします。

OneLogin Desktopのインストールが開始されます。バッテリー残が10%以上あって、電源がつながっていて、インターネット接続ができていないと開始できません。 図だと電源がつながっていないため警告がでています。

電源につないだため全部チェックOKになりました。

利用規約を読んだら ”I AGREE” をクリックします。

”START” をクリックします。

設定変更を行うためMacのログインパスワードを入力します。

インストールタイプを選択します。今回は1台のMacを1名のユーザーが専有するのと、後々OneLoginへのブラウザログインをバイパスしたいため、”OneLogin Desktop Pro”を選択します。

OneLoginのドメインを入力します。

このMacに紐づけたいOneLoginユーザーでログインします。

OneLoginユーザーを紐づけたいMacユーザーを選択します。 デフォルトでログイン中のユーザーが選択されてるのでそのままNEXTでOKです。

選択したユーザーのパスワードを入力します。

インストールが開始しますのでしばらく(10秒ほど)待ちます。

設定が完了しました!

動作確認

一度Macをログアウトして、今度はOneLoginのユーザーとパスワードでログインしてみてください。OneLoginのユーザーでログインできれば成功です!

残課題など

Q:一度OSユーザーとOneLoginユーザーを紐付けると解除ができない?

今回は当初まっさらなMac端末に、ユーザー “Kazuki Ueki” を作成し、OneLoginの同名ユーザーと紐づけました。

しかしOneLoginのユーザーは管理者ユーザーで、このままだと試行錯誤できないため、別のOneLoginユーザー”OneLogin”を作成して紐づけし直しました。ところが一度紐づけしてしまうとそれが端末レベルで記憶されるようで、Macのログインは変更前の”Kazuki Ueki”でないとできない状況になりました。一度”Kazuki Ueki”ユーザーを削除して作成しなおしても同じです。

OneLoginではOneLogin Desktopのアンインストール方法も記載があるため、一度完全に削除すれば直るかもしれません。(未調査、要検証)

Q:初回のインストールと設定は誰がいつやるか?

今回OneLoginユーザーとMacユーザーの紐づけは自分自身で行いました。しかしながら、全社に展開するにあたって、この作業を全社員に強いるのは現実的か?という懸念があります。

新規ユーザーについては、端末配布時に事前に上記作業を行ってユーザーを紐づけておくことはできそうです。今回の手順ではログイン中の自分自身にOneLoginユーザーを紐づけましたが、別のユーザーを新規作成して紐付け、OneLoginのID・パスワードを伝えれば良さそうです。

既存ユーザーについては、わかりやすい手順と十分な移行期間を用意して、徐々に移行するしか方法がないと思っています。既に構築してしまった既存環境はまっさらにできないからです。

Q:途中からOneLogin認証にしたらどうなる?

以前、Macでローカル認証をAD認証にしたところ、別ユーザーとなり環境再構築になりました。

くらめその情シス“技”【番外編】:MacのログインをActive Directory認証にする

OneLogin Desktopの場合は、既存ユーザーとOneLoginユーザーを「紐付ける」だけなので環境再構築は不要です。

Q:ネットワークにつながってない状況でもログインできる?

内部でパスワードをキャッシュしているようで、ネットワークがない状況でもログインできました。

Q:OneLogin側のパスワード変更はどれくらいのタイムラグで端末に反映される?

OneLoginでパスワード変更 → すぐにMacログアウト → 再ログイン をしたところ、すでにパスワードは新しいものを受け付けるようになっていました。そのためほぼ瞬時と言って良さそうです。

Q:Windowsは?

(執筆時点では)未検証です。検証しないといけないです。 Windowsドメイン、ワークグループそれぞれからの切り替えを検証する必要があります。

まとめ

OneLogin Desktopを利用することで、リモートワークなど社内ADに繋がらない環境でも認証ができることが確認できました。

認証基盤をADからOneLoginに変えることで、OneLoginがもつ各種監査レポートやイベント通知機能が利用できるようになります。 また定期的なADサーバーのメンテナンスやOSアップグレード作業からも開放されるため、AD運用コストが削減できるのではないでしょうか。

しかしながらセキュリティ視点では、ID・パスワードの管理がADからOneLoginに変わっただけです。次はもうひとつの課題である 端末認証 によるセキュリティ強化を検証してみたいと思います。


植木和樹(うえき・かずき)

クラスメソッド株式会社IT推進室室長。IT推進室は2017年7月に正式に開始された部門であり、情シス・経理・労務・営業・マーケといった部門にツールやサービスを展開し、業務を見直すことで効率的な事業・業務が行えることを支援している。

個人としては、WEB黎明期よりホームページ制作やシステム開発に従事する。長らく新潟で製造向けの社内システムの保守運用を行ってきたが、2008年の不況のあおりを受け退職。どうにか地元でITの仕事ができないかという思いでクラウドに興味を持ち、ツイッターで募集していたAWSエンジニアの採用に応募して、現在に至る。

業務の傍ら、月間200万PVを超えるBlog「Developers.IO」にも執筆を行う。

関連記事

ピックアップ記事

  1. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  2. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  3. 経済の新たな原動力として注目されるAPI。業務システムとしてクラウド(SaaS)を利用することが一般…
  1. 松田軽太の「一人情シスのすゝめ」Vol.3:Excelでの集計作業を秒殺する方法

  2. ファイルレスとモジュール化を採用した新たなボット型マルウェア「Novter」-セキュリティブログ

  3. 働き方改革の”カギ”とそのために必要なこと

  4. 使える! 情シス三段用語辞典96「SAML」

  5. 情シス歳末交流会「どやった?今年の情シス2019」@大阪-PCNW

  6. 【.NEXT Japan 2019】Disruption=創造的破壊がDXを加速する

  7. ゼロトラストとは何なのか、歴史と議論をひも解く-セキュリティブログ

  8. 【情シス基礎知識】OpenID Connectとは?

  9. 情シスとデジタルトランスフォーメーション(DX)の関係【後編】

  10. 【トレンドウォッチ】情シス業務から運用が消えるのか!?自律型データベースってなに?

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. 個人情報の取り扱いには要注意。国内では個人情報保護法、欧州ではGDPRと個人情報を取り巻く情勢は大き…
  2. あなたの会社のホームページ(HP)はGDPRの対応がお済ですか? なんとなく気になっていてもアクショ…
  3. Windows 7サポート終了でWindows 10に切り替わるこの時期、アプリケーションや端末利用…
  4. Windowsに無料でついてくるセキュリティソフト「Windows Defender」。わざわざセキ…
  5. 欧州でのGDPR(一般データ保護規則)の施行や企業情報を狙ったサイバー犯罪の流行の中、情シスは顧客情…
ページ上部へ戻る