2015年4月20日月曜日

[GoogleApps/AD FS]iOS8.3でのアカウント管理の改善

手元のiPadのOSを順番に8.3にアップデートしている中で気が付いたのですがiOSのメール・カレンダーなのでアカウントにSSO設定がされたGoogle Appsアカウントの設定が出来るようになっています。
地味なアップデートですが、エンタープライズでGoogle Appsを利用しているユーザにとっては実は大きな意味を持つアップデータなので、これまでの課題と本アップデートによる今後のID運用の可能性について考えてみたいと思います。

◆これまでの課題
ネイティブアプリにアプリケーション・パスワードを使いたいのに、SSOユーザではアプリケーション・パスワードは使えない!

実際設定してしまえば動くのですが、SSOと2段階認証の同時設定はサポートされていません

https://support.google.com/a/answer/175197?hl=ja


このことにより、iOS標準のアプリケーションを始め、OutlookなどのネイティブアプリケーションをSSOが有効なユーザでは使うことが出来ず、スマホからでもブラウザを使うか、Google製のGMailアプリケーションを使う必要がありました

当然スマホからブラウザベースでサービスを使うとオフラインでのアクセスが出来なかったり、ユーザ・インターフェイスの面でかなりの苦痛があったりと実用性の面ではかなりの課題がありました。
(そのためにSecure Browserソリューションが流行っているんだと思います)

また、Google製のアプリケーションを使う場合、あくまでブラウザベースでのログイン(Cookieベース)なので、紛失した端末だけ強制ログアウトする、ということが出来ず、すべてのブラウザセッションを無効化することになってしまいます。(他の端末やPCのブラウザを含めすべてログオフされてしまう)


◆iOS8.3での改善
⇒標準メール・カレンダー等のアカウントへの外部IdPでの認証がサポートされ、認可がOAuthベースとなったことにより、SSOユーザでも標準アプリケーションが利用できる!

・認証)外部IdPのサポート
 ⇒Google側での2段階認証を使わなくてもIdP側で多要素認証を実装することでより柔軟な構成が可能

・認可)OAuthのサポート
 ⇒クライアント(アプリケーション)単位で権限委譲を取り消すことが可能なので、アプリケーション・パスワードと同じく、端末やアプリケーション単位で利用を不可能に出来る。(全セッションをクリアする必要がなくなる)


◆実際の動作と設定
早速試してみます。

まず、iOSの設定からGoogleアカウントを追加します。


Googleのログイン画面が出てくるので、SSOが有効なドメインのユーザ名のみを入力して[ログイン]をクリックします。


するとGoogle Appsに設定してある外部IdP(今回はAD FS)のログイン画面に遷移するのでIdPにログインします。
必要に応じて外部IdPに多要素認証を設定するとよりセキュアです。


認証に成功すると、iOSに対して認可をするかどうかの同意画面が表示されるので必要な権限を委譲します。



これでSSOユーザで標準アプリケーションが利用可能となります。



では、今度は端末を紛失したことを想定し、アプリケーションを利用できない様にしてみます。
方法としては、管理者による取り消しと利用者自身による取り消しの両方が可能ですが、今回は利用者自身で権限を取り消してみます。
ブラウザでサービスにログインした状態で画面右上のアカウント設定を開き、接続されたアプリとサービスのアカウント権限をクリックします。



すると、アクセス権を与えたiOSが出てきますので、[アクセス権を取り消す]をクリックします。



アプリケーションで送受信などの操作をするとエラーが表示され、再度認証をするように求められるためアプリケーションが利用できなくなります。


※ただし、すでにローカルにダウンロードしてしまったコンテンツについては引き続き閲覧可能なので、リモート・ワイプなどとの組み合わせは必要です(アプリケーション・パスワードの場合も同様)


これまではGoogle製のアプリケーションを別途導入したり、サードパーティのソリューションを使う必要があったことを考えると端末管理の観点からもかなり有効な解決策となっていると思います。

課題は各端末をiOS8.3にアップデートするところになるとは思いますが・・・

0 件のコメント:

コメントを投稿