くらめその情シス“技”【番外編】:OneLoginポータルへのログインをバイパスする

クラスメソッドでIT推進室室長を務める植木氏。社内ツールやサービスの導入、見直しをする情シスの親分ともいえる存在。そんな植木氏のクラスメソッドでの取り組みを紹介する「くらめその情シス”技”」。一人情シスやゼロ情シスで頭を抱えている情シスさんのヒントにしてはいかがでしょうか? 前回に引き続き、OneLogin DesktopによるMacのログイン管理について紹介します。


くらめその情シス“技”【番外編】
OneLogin DesktopでMacにログインできたらOneLoginポータルへのログインをバイパスする

前回、MacへのログインをOneLoginユーザーで行う OneLogin Desktop をご紹介しました。(くらめその情シス“技”【番外編】OneLogin DesktopでmacOSのデスクトップ認証をOneLoginユーザーで行う

しかしながら、デスクトップログインは成功したものの「認証されている端末からのみOneLoginを利用可能にする」という残課題がありました。つまり信頼されたユーザー信頼された端末から利用した場合のみOneLoginが利用可能になるというものです。(加えてOneLoginからシングルサインオンする各種サービスも)
OneLoginの認証まわりの設定をみたところ「信頼された端末からはOneLoginポータルのログインをバイパスする」ことができるようなので、これを試してみました。

設定

バイパスを許可したユーザーポリシーを作成する

管理画面の”SETTINGSPolicies”から”NEW USER POLICY”をクリックして、新しいユーザーポリシーを作成します。

ユーザーポリシーをユーザーに適用する

”USERS”から設定したいユーザーを選択し、Authenticationタブの”User Security Policy”で作成したポリシーを選びます。

動作確認

動作確認には事前にOneLogin DesktopでMacにログインできるようにしておく必要があります。(参考:くらめその情シス“技”【番外編】OneLogin DesktopでmacOSのデスクトップ認証をOneLoginユーザーで行う

Macにログインしたらブラウザを開き、OneLoginのポータル画面URL(https://<yourdomain>.onelogin.com/portal/)にアクセスします。

そうすると証明書を選択する画面が表示されるので「OK」をクリックします。

下図は「証明書を表示」した時の画面です。有効期限は2年の模様。

Chromeブラウザの場合、証明書はKeychainに保存されているのでアクセスする際にパスワードが求められるかもしれません。

ブラウザが証明処理手続きを行い、パスワード入力なしでポータル画面が表示されたら成功です!

尚、証明書の選択などに20秒ほど経過するとログインに失敗し、自動的にID/Passwordによるログイン画面に遷移します。

課題

証明書をもっていない端末からでもOneLoginにはログインできてしまう

今回の設定でデスクトップログインが成功している場合にOneLoginポータルへのログインをバイパスすることはできました。しかし、当初期待していた証明書を持っている端末からのみログインを可能にすることは確認できていません。

ユーザーポリシーで証明書を用いた多要素認証(MFA)を設定すれば可能となりますが、今回のログインバイパスとの併用はできない模様です。

ログインバイパスを有効にし証明書によるMFAは無効にする

NG。証明書のない端末からもID/Passwordでログインできる。

ログインバイパスを有効にし証明書によるMFAも有効にする

NG。証明書を持った端末からID/Passwordでログインしてもログイン画面に戻される(謎)。

ログインバイパスを無効にする

OK。ID/Passowrdに加え、証明書もないとログインできない。ただし自動ログインはできなくなる。

その他

Q:クライアント証明書の更新はどうする?

クライアント証明書の有効期限は2年で設定されているようです。つまり2年後には利用できなくなります。

macOSの場合クライアント証明書はOneLogin Desktopをインストールした際に設定される機能で、メニューバーからユーザーによる更新が可能です。

Q:Safariでの利用はできる?

できます。OneLogのポータル画面にアクセスしたところChromeと同様に証明書を要求されログインすることができました。

Q:Firefoxでの利用はできる?

macOS版のFirefoxは証明書管理にKeychainを利用せず独自で管理しているそうです。

できるようではありますが、現状は未確認です。

Q:Keychainに保存された証明書はエクスポートできる?

試してみましたが、エラーになってエクスポートはできませんでした。そのためユーザーが持ち出して別の端末にするということはできなさそうです。

まとめ

今回の設定でOneLogin Desktopでログインした場合に、ポータルサイトへのログインをバイパスすることができました。しかし「課題」にも書いたとおりユーザーの利便性はあがりましたが、セキュリティの観点でいうと強化されてはいません。

結論として、ログインバイパスは諦め、OneLogin Desktopによる端末ログイン + 証明書を用いたポータルのMFAが、ログインを一元管理しつつ、端末認証もでき、セキュリティとしてはより強固になると考えています。

上記の設定を行うユーザーで、しばらく検証を続けてみたいと思います。


植木和樹(うえき・かずき)

クラスメソッド株式会社IT推進室室長。IT推進室は2017年7月に正式に開始された部門であり、情シス・経理・労務・営業・マーケといった部門にツールやサービスを展開し、業務を見直すことで効率的な事業・業務が行えることを支援している。

個人としては、WEB黎明期よりホームページ制作やシステム開発に従事する。長らく新潟で製造向けの社内システムの保守運用を行ってきたが、2008年の不況のあおりを受け退職。どうにか地元でITの仕事ができないかという思いでクラウドに興味を持ち、ツイッターで募集していたAWSエンジニアの採用に応募して、現在に至る。

業務の傍ら、月間200万PVを超えるBlog「Developers.IO」にも執筆を行う。

関連記事

ピックアップ記事

  1. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  2. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 怪しい添付ファイルやURLリンクを開いてしまったときの対処法【2020年】-is702

  2. 中小企業向けテレワーク(在宅勤務)ツール14選~コラボ業務編~

  3. 情報セキュリティ関連文書(NIST)を翻訳&公開-IPA

  4. 松田軽太の「一人情シスのすゝめ」#11:複雑な関数やVBAをやめたら属人化Excelは無くなるのか?

  5. いまさら聞けない【情シス知識】SSLとTLSって何?

  6. シリーズ”ウィズコロナ”#01:テレワークと安全配慮義務

  7. 「ゼロから学ぶ」ゼロトラスト#01:守るから許すセキュリティへ

  8. テレワークの意識調査:安全のためにセキュリティ教育が重要なワケ-セキュリティブログ

  9. 【知っ得スキル】もらってうれしいRFP ~第2章~システム要件

  10. 経済産業省:「DX銘柄2020」「DX注目企業2020」を選定

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. Google検索におけるページランクのアルゴリズムやChromeの安全性を高めるための手段として、「…
  2. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  3. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
  4. WebサイトのURLには「http://」で始まるものと「https://」で始まるものの2種類があ…
  5. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
ページ上部へ戻る