くらめその情シス“技”【番外編】:OneLoginポータルへのログインをバイパスする

クラスメソッドでIT推進室室長を務める植木氏。社内ツールやサービスの導入、見直しをする情シスの親分ともいえる存在。そんな植木氏のクラスメソッドでの取り組みを紹介する「くらめその情シス”技”」。一人情シスやゼロ情シスで頭を抱えている情シスさんのヒントにしてはいかがでしょうか? 前回に引き続き、OneLogin DesktopによるMacのログイン管理について紹介します。


くらめその情シス“技”【番外編】
OneLogin DesktopでMacにログインできたらOneLoginポータルへのログインをバイパスする

前回、MacへのログインをOneLoginユーザーで行う OneLogin Desktop をご紹介しました。(くらめその情シス“技”【番外編】OneLogin DesktopでmacOSのデスクトップ認証をOneLoginユーザーで行う

しかしながら、デスクトップログインは成功したものの「認証されている端末からのみOneLoginを利用可能にする」という残課題がありました。つまり信頼されたユーザー信頼された端末から利用した場合のみOneLoginが利用可能になるというものです。(加えてOneLoginからシングルサインオンする各種サービスも)
OneLoginの認証まわりの設定をみたところ「信頼された端末からはOneLoginポータルのログインをバイパスする」ことができるようなので、これを試してみました。

設定

バイパスを許可したユーザーポリシーを作成する

管理画面の”SETTINGSPolicies”から”NEW USER POLICY”をクリックして、新しいユーザーポリシーを作成します。

ユーザーポリシーをユーザーに適用する

”USERS”から設定したいユーザーを選択し、Authenticationタブの”User Security Policy”で作成したポリシーを選びます。

動作確認

動作確認には事前にOneLogin DesktopでMacにログインできるようにしておく必要があります。(参考:くらめその情シス“技”【番外編】OneLogin DesktopでmacOSのデスクトップ認証をOneLoginユーザーで行う

Macにログインしたらブラウザを開き、OneLoginのポータル画面URL(https://<yourdomain>.onelogin.com/portal/)にアクセスします。

そうすると証明書を選択する画面が表示されるので「OK」をクリックします。

下図は「証明書を表示」した時の画面です。有効期限は2年の模様。

Chromeブラウザの場合、証明書はKeychainに保存されているのでアクセスする際にパスワードが求められるかもしれません。

ブラウザが証明処理手続きを行い、パスワード入力なしでポータル画面が表示されたら成功です!

尚、証明書の選択などに20秒ほど経過するとログインに失敗し、自動的にID/Passwordによるログイン画面に遷移します。

課題

証明書をもっていない端末からでもOneLoginにはログインできてしまう

今回の設定でデスクトップログインが成功している場合にOneLoginポータルへのログインをバイパスすることはできました。しかし、当初期待していた証明書を持っている端末からのみログインを可能にすることは確認できていません。

ユーザーポリシーで証明書を用いた多要素認証(MFA)を設定すれば可能となりますが、今回のログインバイパスとの併用はできない模様です。

ログインバイパスを有効にし証明書によるMFAは無効にする

NG。証明書のない端末からもID/Passwordでログインできる。

ログインバイパスを有効にし証明書によるMFAも有効にする

NG。証明書を持った端末からID/Passwordでログインしてもログイン画面に戻される(謎)。

ログインバイパスを無効にする

OK。ID/Passowrdに加え、証明書もないとログインできない。ただし自動ログインはできなくなる。

その他

Q:クライアント証明書の更新はどうする?

クライアント証明書の有効期限は2年で設定されているようです。つまり2年後には利用できなくなります。

macOSの場合クライアント証明書はOneLogin Desktopをインストールした際に設定される機能で、メニューバーからユーザーによる更新が可能です。

Q:Safariでの利用はできる?

できます。OneLogのポータル画面にアクセスしたところChromeと同様に証明書を要求されログインすることができました。

Q:Firefoxでの利用はできる?

macOS版のFirefoxは証明書管理にKeychainを利用せず独自で管理しているそうです。

できるようではありますが、現状は未確認です。

Q:Keychainに保存された証明書はエクスポートできる?

試してみましたが、エラーになってエクスポートはできませんでした。そのためユーザーが持ち出して別の端末にするということはできなさそうです。

まとめ

今回の設定でOneLogin Desktopでログインした場合に、ポータルサイトへのログインをバイパスすることができました。しかし「課題」にも書いたとおりユーザーの利便性はあがりましたが、セキュリティの観点でいうと強化されてはいません。

結論として、ログインバイパスは諦め、OneLogin Desktopによる端末ログイン + 証明書を用いたポータルのMFAが、ログインを一元管理しつつ、端末認証もでき、セキュリティとしてはより強固になると考えています。

上記の設定を行うユーザーで、しばらく検証を続けてみたいと思います。


植木和樹(うえき・かずき)

クラスメソッド株式会社IT推進室室長。IT推進室は2017年7月に正式に開始された部門であり、情シス・経理・労務・営業・マーケといった部門にツールやサービスを展開し、業務を見直すことで効率的な事業・業務が行えることを支援している。

個人としては、WEB黎明期よりホームページ制作やシステム開発に従事する。長らく新潟で製造向けの社内システムの保守運用を行ってきたが、2008年の不況のあおりを受け退職。どうにか地元でITの仕事ができないかという思いでクラウドに興味を持ち、ツイッターで募集していたAWSエンジニアの採用に応募して、現在に至る。

業務の傍ら、月間200万PVを超えるBlog「Developers.IO」にも執筆を行う。

関連記事

ピックアップ記事

  1. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  2. 平成31年、とうとう平成最後の年が幕を開けた。先日、安倍首相は三重県伊勢市での年頭記者会見で、「5月…
  3. 経済の新たな原動力として注目されるAPI。業務システムとしてクラウド(SaaS)を利用することが一般…
  4. 不朽の名作と名高いRPGの開発をはじめ、数々の有名IPのソーシャルゲーム開発を手がけてきたオルトプラ…
  5. PCNW(PC・ネットワークの管理・活用を考える会)が、東京会場における今期最初の勉強会「第一回クラ…
  1. 【情シス×ストレッチ】手首疲労対策ストレッチ「手首レッチ①」~第10回~

  2. くらめその情シス“技”【番外編】:OneLoginポータルへのログインをバイパスする

  3. いまさら聞けない【情シス基礎知識】Javaの種類と有償化の関係

  4. 【知っトク技術】秘密計算とは何か?

  5. いまさら聞けない【情シス基礎知識】Windows Defenderってなにするもの?

  6. 【情シス基礎知識】CISOとCSIRT、その関係性は?

  7. 【情シス知っ得言語】「Go言語」のメリットと学ぶべき理由

  8. くらめその情シス“技”:ユーザー管理(Active Directory) from Developers.IO

  9. 【情シス基礎知識】最近よく聞く、CSIRTってなに?

  10. 2018年度セキュリティ意識調査-カスペルスキーレポート

関連サービス

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. オラクル(Oracle)による無償サポート終了で今やホットなキーワードである「Java」。自分のPC…
  2. Windowsに無料でついてくるセキュリティソフト「Windows Defender」。わざわざセキ…
  3. 欧州でのGDPR(一般データ保護規則)の施行や企業情報を狙ったサイバー犯罪の流行の中、情シスは顧客情…
  4. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  5. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
  6. ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の…
ページ上部へ戻る