ローカルナビゲーション

課題解決 トップ

ガルーン 3 の認証について 第一回(Active Directory編)

業務の効率化を目的として社内システムの導入が増加している昨今、それに伴いユーザーIDの管理コストが増加する傾向にあります。異動者や退職者のID削除し忘れは、内部監査での指摘を受けやすいポイントにもなります。
そこで、「サイボウズ ガルーン 3」(以下、ガルーン 3)における運用コスト削減方法として、「ガルーン 3」とマイクロソフト社の「Active Directory」との連携について紹介します。
「ガルーン 3」は、「Active Directory」等の LDAPv3 の規格に対応しております。ここでは「Active Directory」を例にご紹介いたします。

認証データベースに Active Directoryを利用する

「ガルーン 3」では、認証情報を保持するデータベースとして、標準で保持する認証データベース(標準データベース)の他に、任意の「LDAP サーバー」を使用することができます。
LDAPサーバーとして「Active Directory」を利用した場合、「サイボウズ ガルーン 3」の利用者パスワードを「Active Directory」にて管理することができます。
これにより、「ガルーン 3」以外のシステムとも平行運用する場合にもそれぞれのシステムでパスワードの登録をする必要がなくなり、データの一元管理が容易になります。

上記設定を行う場合、「ガルーン 3」を利用するユーザー情報を「ガルーン 3」側に「Active Directory」とログイン名を揃えて登録する必要があります。ログイン名で同一ユーザーかを判断するためです。
その際、「ガルーン 2 連携API(※1)」を利用することで、「Active Directory」で管理するユーザー情報を「ガルーン 3」に一括で登録することが可能となります。

これによりシステム全体のユーザー管理業務の負担をさらに下げることができます。

その他にも、ユーザー情報をシステムに同期させるソリューションがあります。
例えば、エクスジェン・ネットワークス社の「LDAP Manager」のようなID統合管理製品を利用することで、「ガルーン 3」と「Active Directory」だけに限らず、他のシステムも含めた組織全体のユーザー情報一元管理が容易になります。

LDAP Manager:エクスジェン・ネットワークス株式会社
http://products.cybozu.co.jp/garoon/product/alliance/ldapmanager/index.html

統合 Windows 認証を利用し「ガルーン 3」にシームレスなログインを実現

統合 Windows 認証とは、マイクロソフト社による認証形式で、ドメインの認証情報を利用し、マイクロソフト社製 Webサーバーのインターネットインフォメーションサービス(以下IIS)とブラウザを認証させるものです。
これを利用すると、Windows 端末にログインするだけで、設定されているWebサービスにシングルサインオンを行うことが可能となります。

「ガルーン 3」でももちろん統合 Windows 認証の利用は可能です。
統合 Windows 認証と「ガルーン 3」が標準で搭載する環境変数認証を組み合わせることで、Windows 端末にユーザーがログインすると、「ガルーン 3」に自動的にログインさせることが可能となります。

これによりユーザーのログイン操作の手間を省くだけでなく、パスワード忘れによる情報システム担当者への問い合わせ対応コストも削減されます。
また、社内システムが増えていくことでよく見かけるようになった、付箋でパスワードをパソコンに貼っている」等の情報セキュリティリスクの回避も可能になります。

【参考】ガルーン3 の設定画面

「システム管理画面(基本システム)」-「認証」-「ログイン認証」より「ログイン認証を追加する」をクリックし、「環境変数認証」をログイン認証形式に選択して、以下の設定を追加します。

この統合 Windows 認証を応用することにより、認証の幅が大きく広がります。
いくつか例をあげます。

  1. 1. Windows 端末のスタートアップ機能を利用し、Windows 端末に一度ログインすると、自動的に「ガルーン 3」のログイン後画面を表示させる。「ガルーン 3」をポータルで利用する場合には効果的。
  2. 2. 統合 Windows 認証を利用可能な Web サービスであれば、「ガルーン 3」のリンク集にリンクを貼るだけで、特別な仕組みを導入しなくともシングルサインオンが可能。
  3. 3. 統合 Windows 認証の利用ができない Web サービスでも、「ガルーン 3」のセッション認証機能を利用することで、シングルサインオンが可能。
  4. 4. 「ガルーン 3」を運用する Web サーバーが IIS でなくとも、統合 Windows 認証を利用する構成の構築。

この「3」および「4」については、次号で詳しく説明いたします。
以上です。

【補足】

※1)「ガルーン 2 連携API」は「サイボウズ ガルーン3」でも利用することができます。
「ガルーン 2 連携API」の詳細につきましては、サイボウズ オフィシャル パートナーへご相談ください。
https://cybozu.co.jp/products/partner/

※2)サーバーに対して認証を設定している場合、「サイボウズ ガルーン3」より搭載している「複数ファイルの一括添付」の機能はご利用できません。