ゼロトラストを実現
クラウド型ID管理サービス
IDentity is the new perimeter
Topics
What's Change Oktaで変わる社内の環境
-
クラウドサービスのID/PWを一元管理
MANAGEMENT
01 -
情シスのID/PWの管理工数の削減
REDUCTION
02 -
セキュリティ強化
SECURITY
03
クラウドサービスがビジネスにおける重要度を増し、利用が増え続ける今、情報システム部門における管理工数も比例して増え続け、同時にセキュリティリスクが増しています。
IDentity Management Powered by Oktaでは、各クラウドサービスと連携しクラウド型でID/PWを一元的に管理することで、情シスの管理工数大幅削減とセキュリティ確保を実現します。
About Okta Oktaが選ばれる理由
OktaのIDaaSはID管理とセキュリティの新しいスタンダードです
IDaaSのスタンダード
IDentity as a Serviceの市場でスタンダードとなる製品です。米国や日本において、数多くのクラウド活用に積極的なお客様に採用されております。
7,000+
業界トップクラスの7,000を超える大手クラウドサービス、各種SaaSとの連携テンプレートを用意し、IDの接続連携を容易に行うことができます。
高いセキュリティと充実した機能
プッシュ認証、ワンタイムパスワード認証、サードパーティMFAとの連携、生体認証に対応。加えて、ユースケースに応じて動的な認証ポリシーをきめ細かく設定できます。
License Guide and Function ライセンスガイドと機能解説
様々な機能を組み合わせてID管理を実現するOktaのライセンス購入方法と、それぞれの機能を解説します。
- 1SSOのライセンス(必須)
- 2Universal Directory機能を選ぶ
- 3オプションライセンスを選ぶ
- 4Adaptive機能の有無を選ぶ
| 1SSOライセンス SSOライセンスはOktaご利用にあたり、標準(必須)契約です。 |
?機能解説 | ||
|---|---|---|---|
| SSO(無制限) |
SaaSへのSingle Sign-On Integrated Access Management リアルタイムセキュリティログ・レポート |
シングルサインオンとは?(SSO)一度の認証で複数のシステムに安全にログインすることができる機能です。モダンな認証機能を備えたSSO機能で、セキュリティリスクを管理・削減します。 | |
| 2Universal Directory機能の有無を選ぶ | ?機能解説 | ||
|---|---|---|---|
| Universal Directory |
複数ソースからID・属性情報の同期・グルーピング・ユーザーアトリビューションマッピング |
ユニバーサルディレクトリとは? メインディレクトリとしてActive Directoryや人事システムのユーザー情報と同期をするだけでなく、一元管理することが可能になります。 | |
| ※多様なOkta機能を活用いただくため、多くのケースで必要となります。原則ご購入をおすすめします。 | |||
| 3オプションライセンスを選ぶ(必要に応じて複数選択) | ?機能解説 | ||
|---|---|---|---|
| Multi Factor Authentication(MFA) | 多要素認証 |
多要素認証とは?(MFA)
社外ネットワークからのアクセス時など状況に応じて、指紋認証やワンタイムパスワード認証等を活用し、より強力な本人認証機能を提供します。 |
|
|
LifeCycle Management
※Universal Directoryの契約が必要です。 |
他IDの自動アカウント作成 組織情報に基づいたポリシー制御 |
ライフサイクル管理とは?(LCM)
登録されたユーザー情報を参照し、サービスユーザーのライフサイクル、ユーザー追加・変更・削除の自動化を可能にします。 |
|
|
Advanced Lifecycle Management
※Universal Directoryの契約が必要です。 |
“LifeCycle Management”機能に加え、Workflowsによる自動化 |
Workflowsとは?
ユーザの登録や、特定のイベント・スケジュールを起点に、プロビジョニングやメール通知等の設定したアクションを実行し、業務の自動化をUI上で直感的に設定できます。 |
|
| Advanced Server Access
※Universal Directoryの契約が必要です。 |
SSHやRDP接続など特権サーバーアクセス管理を実現 ※サーバー単位での課金となります |
Advanced Server Accessとは?
AWSやGCP、Azureといったパブリッククラウド、オンプレミスのLinux および Windowsサーバーへのアクセスを制御し、 IAM 管理の複雑さを簡素化します。 |
|
|
Access Gateway
※Universal Directoryの契約が必要です。 |
Webアプリ、ポータルなどのオンプレミス環境へのSSO |
Access Gatewayとは?
オンプレミスサーバで稼働するWebアプリケーションにOktaのSSOや認証機能を、オンプレ/クラウド問わず組み込み、ユーザーのアクセスを保護します。 |
|
| 4Adaptive機能の有無を選ぶ | ?機能解説 | ||
|---|---|---|---|
| Adaptive機能 |
Adaptive SSO およびAdaptive MFAのいずれか購入で利用が可能です。 |
ふるまい検知とブロックとは?(Adaptive機能) 不審なIPからの認証リクエストを、認証プロセスが走る前に検出することが可能です。 また、ブルートフォースアタック等による、正規ユーザーのアカウントハックを防ぐこともできます。 | |
Case ライセンスの選び方がわかる活用例
Oktaのベーシック機能を実装 Basic
| ライセンス | SSO |
|---|---|
| ユニバーサルディレクトリ | 有 |
| オプション | MFA |
1回の認証で複数リソースにアクセス可能
- ・Okta(IDP)だけでIDを管理すればよい
- ・認証ログイン入力の機会を減らせる
状況に応じて使い分けることが可能な様々な多要素認証のサポート
標準提供のOkta Verify / プッシュ通知 / Google Authentication等の3rdParty / 生体認証
IDの統合基盤としてOktaを利用 Advanced
| ライセンス | SSO |
|---|---|
| ユニバーサルディレクトリ | 有 |
| オプション | MFA + LM |
SaaSのIDの状態を一元的な管理が可能
- ・OktaでIDがアサインされたら、SaaSにも自動で同じIDを登録 (削除の同期も可能)
- ・ユーザーの属性(attribute)をOkta側で更新するとSaaSへ相互で自動同期
- ・日付・期間指定も可能
OktaにてIDのセキュリティを制する Security
| ライセンス | SSO |
|---|---|
| ユニバーサルディレクトリ | 有 |
| オプション | Adaptive MFA + LM |
IDのふるまいを見てログインのブロック
- ・物理的に不可能なログインを位置情報から判別
- ・ブルートフォース攻撃のような認証ログイン入力の機会を減らせる
FAQ Oktaのよくある質問
複数のSaaSを利用している場合、人員の増減の度に全てのSaaSに対してアカウントの作成・削除といった作業が発生し、ユーザ視点においても各SaaSを利用する度にパスワードの入力が必要となります。 このように複数のSaaSを利用することで発生する課題に対して、IDaaSは有用なソリューションです。
Oktaではユーザ、接続元環境(IPアドレス・国)、端末(MDM管理・OS)などの条件を用いて、連携するアプリケーション毎にサインオンポリシーを設定することができます。
そのため、「社内IPアドレスからの接続はID・PWD認証のみで許可」「社外IPアドレスからの接続時には追加でMFA認証(多要素認証)を求める」といった具合に、求められるセキュリティ要件へ柔軟に対応することが可能です。
可用性においてOktaは99.99%の稼働率を保証しています。
一般的なIdPサービスは99.9%を設定値としており、ダウンタイムで計算すると1年で8時間45分56秒です。99.99%をダウンタイムで計算すると、1年で52分35秒です。
8時間つまり、1営業日使えない機会損失の差は非常に大きいと考えます。
「セキュリティへの投資」と「多要素認証設定の柔軟性の高さ」が挙げられます。
Oktaはセキュリティ(基盤、運用、社員の雇用など)に本気で投資をしており、46ページに及ぶOktaが実施しているセキュリティ対策について網羅的にまとめた資料が公開しています。
資料URL(英語):https://www.okta.com/sites/default/files/2020-08/Okta-Technical-Security-Whitepaper.pdf
また、多要素認証設定の柔軟性に関しては、任意のユーザー(例:特定の属性を持つユーザー)、任意のアプリ、そしてPC/モバイルの区別に対し、それぞれ多要素認証の設定が可能です。
連携可能なアプリケーションはOkta公式サイトが以下URLにて公開しています。
https://www.okta.com/integrations/
上限はございません。
ActiveDirectoryにてID管理以外(WSUS、メールアドレスの発行等)を行っている場合はそのままADをメインとして運用、複数のADを管理されている場合はOktaへ統合といったように、既存環境に応じて柔軟に選択いただくことができます。 最終的にOktaをメインとする場合においても、初めはADをメインとして同期し、その後Oktaをメインに設定する手法もございます。
Oktaは90日間のログ保持となります。
1年保存したい場合等は、Oktaに対してAPIコールしていただければログの出力が可能です。
onmicrosoft.comのドメインを使ってる場合はSWAしか使えません。
Oktaは他の製品ではないようなSAML連携の手順をアプリごとに用意していて、さらにメタデータなどの情報も組織に合わせて表示してくれます。
学習コストや管理工数を他社製品より大幅に減らすことができると思われるので、トータルコストで考えてもOktaのコストパフォーマンスは高いといえます。
導入後支援に含まれる項目は以下の通りです。
・構築レクチャー
・設定に関するQA
・クイックスタートガイドのお渡し
・導入後のチューニング支援
※メールおよびオンライン会議を基本とする
※対象期間発注から6か月程度想定
・テクニカルサポート窓口(安定稼働後)
最低発注金額の設定がございます。
オプションライセンスの途中追加は可能です。
クララはどちらも対応可能です。 Okta社から直接購入する場合は年額のみとなります。
別途発生する料金はございません。
What We Do クララでOktaをご契約いただくと
「IDentity is the new perimeter.」の言葉が示す通り、クラウドサービスを活用し、社内システムのDX化を推進するにあたり、ID管理の重要性は増しております。
しかし、IDaaSの導入がゴールではありません。弊社はメーカー等と異なる公平中立なサービスプロバイダとして、個別製品の最大化をご提案するのではなく、情報システム全体を見据えて、総合的な仕組みのご提案と、それを各企業様「使いこなせる」ようになるまでのサポートを実施し、本当の意味での企業のDXを実現することをゴールとしています。
- 1.「売って終わり」としない、導入支援、テクニカルサポート、チューニング支援
- 2.自社での導入ノウハウの還元
- 3.DXのための”ゼロトラスト化”の実現へのトータルサポート
- 4.月額サブスクリプション型の支払いスキーム
Flow 導入までの流れ / 技術支援 / サポート
- 1ヒアリング
- 2設計・提案
- 3導入支援
- 4運用支援
・現状のヒアリング
・要件確認
・システム構築のご提案
・サービス選定
・ロードマップ策定
・PoC
・操作方法のレクチャ
・ライセンス提供
・定例会(定期的な見直し支援)
・問い合わせサポート