>  > ズーム ダウンフォースHGサス 1台分 アウトバック BR9 EJ25 H21/5~ 2.5L サスペンション

導入事例 Case

ズーム ダウンフォースHGサス 1台分 アウトバック BR9 EJ25 【★送料無料】 H21/5~ 2.5L サスペンション [ホイール1本(単品)]

株式会社アカツキ

経営企画部 情報システムグループ マネージャー
徳山 文晟 様

〒141-0021
東京都品川区上大崎2-13-30 oak meguro 8階
URL:https://aktsk.jp/

ダウンフォースHGサス EJ25 サスペンション 2.5L H21/5~ サスペンション BR9 1台分 アウトバック EJ25 ズーム

株式会社アカツキ 徳山 文晟 様

1. OneLoginの導入企業

株式会社アカツキはどんな会社ですか?

モバイルゲームを中心に事業を展開してきた会社ですが、ここ数年ではアウトドアレジャーなどのリアルな体験を提供するライブエクスペリエンス事業も展開しています ハンドルカバー ekワゴン ステアリングカバー ヒョウ柄ブラウン S(外径約36-37cm)「軽自動車 キルト生地 Azur 日本製」。デジタルとリアルと領域は違うのですが、「エンターテインメント」をキーワードに様々な取り組みを行なっています。

OneLoginご利用環境

本社以外にも国内、海外に子会社があります。それぞれ別の拠点があるので、本社側の導入をメインに進めていますが、子会社含めて全社共通で利用しているサービスについては同時展開しています(G Suite、Slack など)。 利用人数的には1,000人弱ですが、対応範囲を広げることで今後もう少し増える想定があります。

2. OneLogin導入経緯

IDaaSサービス比較と選定ポイント

アカツキではSSOだけではなくIAM機能を持つサービスを探していました。この機会に改めて様々なサービスと比較検討しました。
私達が当初比較したサービスはokta、HDE One、AmazonのSSOサービス、GoogleのSSOサービスなどです。選定するサービスにディレクトリ連携やProvisioning(プロビジョニング ※1)といったIAM機能を必須と考えると必然的にサービスは絞られました。
SAMLとForm認証の両方に対応しているもののみ比較対象に入れ、ディレクトリ連携やProvisioningも機能として重要だろうなと考えていました。この段階でAWS SSOや Google、HDE Oneは除外しました。

※1 プロビジョニング:OneLoginでアプリケーション利用設定をした際に、アプリケーションにアカウントがない場合に自動でアカウント作成できる機能

最後まで比較検討したのはoktaでした。検証中にActive Directoryとの連携で大きな不具合が発生したんですが、自力では解決不可能なものでした(サポートが内部で対応しないと修正できないもの)。ここでの解決までのフローを経験する中で、本番で問題が発生したときの不安が高くなりました。

あと一番の違いは日本語のサポートがあるかないかでした。日本で採用するとなると重要なポイントになりますよね。自分達でマニュアルを見ながら進める必要があるので、ペンティオさんの日本語でのマニュアルが整備されているのはよかったです。

選定するサービスに日本語のマニュアルなどがなく英語のマニュアルだけだと、導入時はよくても運用の引き継ぎなどでハードルが上がる部分がでてきてしまいます。それでも進めていけるスタッフを雇うというのもひとつの解決策ではありますが、やはり日本語技術サポートと日本語マニュアルの充実といった点でOneLoginがいいだろうということになりました。

それからペンティオさんは米国OneLogin, Inc. とのつながりも強いので、何かあったときに米国本社と連携しやすいというのも大きかったです。

OneLoginの導入

弊社での導入はエンジニアから展開するのがやりやすいと思ったので、AWSをはじめとしてDatadogやDropbox Business などの開発者向けアプリ導入にまず手をつけました。テスト導入はこのあたりの小規模ユーザー数のアプリからはじめました。そのあとで全社展開するSlack、G Suiteといったアプリ導入に進んでいきました。 エンジニアがSSOのメリットを理解してくれると、その後の展開がやりやすいです。彼らは環境をよくするものに対して敏感なので全社展開する上で味方になってもらえます。

Slackアプリ導入については最初少し手間取りました。もともとGoogle認証で利用していたのですが、Google認証を外してOneLoginに切り替えようとすると、Slackの仕様でユーザーに勝手にリセットメールが飛んでしまうということがありました。そのため、サイレントに切り替えができないという問題がありました。 一旦Google認証を停止してパスワード認証だけにして、それからもう一度パスワード認証からSAML認証に切り替え作業を行うことにしました。

G SuiteのSAML切り替えは問題なくスムーズにできましたが利用者側には少し混乱が発生しました。ProvisioningでOneLogin のパスワードを G Suite へ同期させるようにしていました。G Suiteは仕様上パスワードを変更すると勝手にログアウトされてしまうので、スマホなどの再設定も発生し、ユーザー側に作業の手間が発生してしまったという事象はありました。

SAML認証の切り替えだけの場合と、認証切り替えと同時にProvisioning設定する場合とでは、エンドユーザーに発生する挙動が異なる場合があるのですね。(長谷川)

OneLogin導入以前にディレクトリはありませんでした。OneLoginを導入するということになってから、将来的にもいずれ必要になるだろうということでActive Directoryを準備しました。

OneLoginとActive Directoryとの連携構築は特に問題はありませんでしたね。今はAWS上に冗長構成で2台あり、OneLoginと連携しています。 将来的には他のサービスとの連携の都合で AzureADへ環境を移行することを考えています。

3. OneLogin利用状況

SAML認証アプリケーション

弊社がSAML認証で利用している主なアプリケーションはG Suite、Slack、Salesforce、TeamSpirit、AWSです。Office 365もいずれ導入する予定で、直近ではZoomも対応させました。

ズーム ダウンフォースHGサス 1台分 アウトバック BR9 EJ25 H21/5~ 2.5L サスペンション

★色番号塗装発送86 - ハチロク - ルーフスポイラー / ハッチスポイラー【チャージスピード】86 ZN6 ルーフフィン 中期 純正シャークフィンアンテナ用 FRP製, 【MC ワゴンR レオン】ワゴンR MC22S H14.09-H15.08 シートカバー 後期, 送料無料(一部離島除く) RS-R アールエスアール車高調 スポーツI (ピロ仕様) ニッサン 180SX(1989~1999 RS13) フジコーポレーション, ポッシュ POSH イニシャルアジャスター タイプ1 06年以前 ゼファー750、ゼファー750RS 黒/黒 030665-06 HD店, GPZ900R ノジマ FASARM PRO TITAN 手曲げ マフラー チタン ( nmtx604vz ) 【送料無料】ウェッズ レオニスSK 15インチ 165/55R15 165/55-15 デイズ タイヤ付き ホイール 組込・バランス調整 4本セット, マツダ アクセラ BM系 18インチ アルミホイール 一台分(4本) LEONIS SK (レオニス エスケイ) パールブラック ミラーカット アルミ, スバル エクシーガ クロスオーバー7 YAM 18インチ アルミホイール 一台分(4本) LEONIS SK (レオニス エスケイ) パールブラック ミラーカット アルミ, 【受注生産】【グレイス Grace】コペンローブ (2人乗) 等にお勧め ディアダイヤエディション [Aラインレザー仕様] シートカバー 1台分 型式等:L400K 品番:CS-D071-A, DUNLOP ダンロップ SP SPORT MAXX 050+ スポーツ マックス サマータイヤ 235/45R18 RAYS HOMURA A5S 18 X 8 +45 5穴 114.3 【送料無料】 BLEST ユーロスポーツ シャンドリィSE ホイール単品4本セット 6.00-16 16インチ

ズーム ダウンフォースHGサス 1台分 アウトバック BR9 EJ25 H21/5~ 2.5L サスペンション:【Z1000/2003~用】前後タイヤ ミシュラン パイロットパワー 2CT 120/70ZR17 190/50ZR17 MICHELIN PILOT POWER 2CT 2輪 EK/江沼チヱン シールチェーン QXリング メタルブルー 525SRX2(AB,NP) 106L 継手:MLJ カワサキ ZRX/II W400 ゼファー750/RS ZR-7/S

ズーム ダウンフォースHGサス 1台分 アウトバック BR9 EJ25 H21/5~ 2.5L サスペンション.【店舗塗装サービス】【C26 セレナ インパル】セレナ HFC26 ハイウェイスター Premium Version プレミアム・リアウィング AutoExe オートエクゼ SE-05 スタイリングキット フロントアンダースポイラー RX-8 SE3P 車体番号:300001~ タイプRS/スピリットR 送料4000円(税別) ※北海道・沖縄・離島は都度確認 ※個人宅配送不可

[cpm]シロッコ(Standard)用剛性モノコックプレート RSR ダウンサス トヨタ ウィンダム MCV30 13/8~15/7 FF Ti2000 DOWN T264TD 一台分 RS-R ローダウン サス

社内へのIDaaS導入説明や操作手順案内については基本的に自分がひとりでやりました。導入のマニュアルや手順書を作成して既存の社員に配布案内しました。新規で入社した人に関しては総務にマニュアルを渡して操作や説明をお願いしています。社内マニュアルをかなり頑張って充実させたので、自分はOneLoginアカウントの新規作成だけ作業しています。新しく入社した人のアプリケーションアカウント作成や必要な説明は、入社の案内をする総務や人事のメンバーがやっています。スムーズに問題なく運用できています。

Form-base認証アプリケーション

私が思うにどの会社でもコーポレート部門ではForm-base認証(ID・パスワードでの認証方式)アプリの利用は多いですよね。アスクル、Amazon、楽天などコーポレート部門が使用する購入や管理系のサービスは20~30種あります。総務では航空チケット予約、名刺の発注、人事では採用系クラウドサービスも利用します。今はどんな業務でもクラウドサービスになっているのでかなりのアプリ数があります。

OneLoginへのアプリ登録希望はわざわざ募ったのではなく、もともと共有アカウントの共有シートがあったのでそれを見て情報システム部が登録しました。そしてアプリへのアクセス制御はRole(ロール ※2)の設定でやっています。

※2 ロール:複数アプリケーションの利用権限を一括設定するための複数アプリのまとまり

例えば総務で使うアプリは総務ロールに割り当てておき、総務のメンバーにこのロールを設定する、という様な手法です。このやり方だと会社共有アカウントを利用するユーザーにいちいちパスワードを伝える必要もないし、変更時の通知も不要なのでとても便利です。 新しいメンバーが増えてもロールに割り当てるだけで即数10個のサービスを利用可能になります。
これらを総合的に見て、会社保有アプリのForm-base認証は業務担当者個人ごとのアカウント管理よりOneLoginで共有アカウント管理する方が運用が楽になるのでやったほうがいいと思います。

ユーザーに対するアプリケーション利用権限設定は、Mapping(マッピング ※3)で一部自動化しています。ただ、弊社は例外対応が多いので所属だけでは利用するアプリを決めて分けきれないという部分があります。このため、Active Directoryにあるのは氏名や雇用形態などのベースの情報くらいで、配属先やアプリなどの情報まで含まれていないので、Active Directoryから伝わってくる情報だけでは決められず、アプリ利用を個別に判断をする必要があります。この判断や実際の割り当て作業はOneLoginで操作するようにしています 。

※3 マッピング:あらかじめ設定したルールに従って利用アプリなどを自動設定できる機能

共有アカウントのアプリをチーム内の誰が使うかといったところに関しては情報システム部では管理していません。これはロールベースで権限を移譲しているので会社の規模が大きくなるほど利便性を実感しています。

このように弊社はロールとアプリは、ロール管理者とアプリ管理者を特権管理者以外に別に立てる管理設計にしています。こうすることで共有アカウントを誰が利用するかという細かな部分に関して部門の責任者に任せられるようになります。

必要な権限を現場に適切に移譲し、特権だけ情報システム部が持っているという形がこれからのアカウント管理かもしれませんね。(長谷川)

そうですね。アカツキの文化というのもありますけどね。アカツキは中央集権というよりは、共通化しないといけない部分だけ共通化し、それぞれの業務が最適化できるよう一定の自由度を持つというスタンスです。取り組む業種が多岐にわたるので、それぞれの業種によって使うサービスや運用の文化も異なります。自由度を持たすことがスピード感を生み出しているのだと思います。 このため、それぞれのチームのリーダーの権限が強いんです キャラバン用 インシユレーターバルクヘツドキャラバン/ホーミー 74904-R8284 日産純正部品。 情報システム部としては「管理はこうしてね」というベースとしてOneLoginは準備しますが、部門やチーム内の管理はチームに権限を移譲するということにしています。いちいち面倒見きれないですし、そのほうがお互いの工数削減にもなりますしね。

OneLoginのオプション機能

アカツキではOneLogin vLDAPとOneLogin Adaptive Authentication(リスクベース認証)を利用しています。

OneLogin vLDAPはSSHのユーザー判定に使っています。開発・検証メンバーのデータベースへの接続や、踏み台サーバーへの接続におけるSSHのセッションを張るときのユーザー認証に使っています。これは社内の開発・検証のメンバーが使用しています シルクブレイズ ワゴンR MH34S Lynx リアウイング FRP製 塗装済 パールホワイト (Z7T)。
また、一部メンバーのVPN認証でも使っています。外部から社内を経由してリモートアクセスすることが必要な場合に、WatchGuardのSSL VPN機能で実現しています。VPN機器がvLDAPに問い合わせをして認証判定するという使い方はたいへんうまく動作しています。ネットワーク機器へのログインでもLDAP認証で管理画面に入る使い方をしています。

OneLogin vLDAPは複数の目的で活用いただいているということですね。(長谷川)

はい。もう一つのオプションであるOneLogin Adaptive Authentication(リスクベース認証)は全員が使っています。本人を判定する方式は「秘密の質問 ※4」かOTPかどちらかを選択できるようにして利用しています。通常はOneLogin標準OTPのOneLogin Protectを推奨しているのですが、社員のスマートフォンは会社支給端末ではないため、私物に会社用のアプリを入れたくないとか、スマホとなんでも結びつけたくないという人もいるので、秘密の質問という選択肢も残しています 14インチ サマータイヤ セット【スペーシア(MK32S系)】A-TECH ファイナルスピード GR-ガンマ ガンメタリックシルバー 4.5Jx14LEMANS V LM5 155/65R14。どちらも戸惑うことなく利用はできています。

※4 秘密の質問:質問に対しあらかじめ自分で設定した回答を入力する方式の多要素認証

リスクベース認証の閾値は「Low Risk」に設定しています。当初は「No Risk」に設定して使っていたのですが、同じ場所からのログインでも何回もOTPリクエストが出てくるなという感じでした [ホイール1本(単品)] SSR / WERFEN GT-04 (SLSL) 20インチ×10.5J PCD:120 穴数:5 インセット:25。そこまで厳しくしたいわけではなくて、なるべく普段会社で利用しているときは聞かれず、家からのアクセスの時は出てくる、くらいの運用でやりたいと思っていましたので、イベントログのリスクスコアを見て「Low Risk」に途中で変更しました。ただ、特権管理者など強い管理者権限を持つユーザーは「No Risk」にするなどの調整は行っています。今後も運用状況を見ながら調整していくことになると思います。

アカツキ様ではOneLoginの様々な機能を有効に活用されていますね。(長谷川)

他にもOneLoginのSAML Toolkitを利用して、自社開発システムのユーザー認証が必要なものはSAML認証で判定するようにしています。システムへのユーザー認証組み込み開発の際はOneLogin Developer Documentを見ながらやっています。今はまだ1つのサービスだけですが「ユーザー認証が必要なものがあればSAML化しようね」というのがエンジニアとの共通認識になっているので、これからも進めていくつもりです。

4. OneLogin利用について

OneLoginへのリクエスト

OneLoginを使いながらいつも気づいたことはメモしています。メモを見ると管理画面に関するリクエストが多いですね。管理画面が直感的でないと感じているので、見直して欲しいです。管理画面を見ればなんとなく操作が想像できるという画面になると尚良いですね。 管理画面の作りが操作に直結するものでないと、運用を引き継ぐときに非常にハードルが高くなります。ここは是非改善してほしいと米国にも強く要望をだしています。

それから細かい事ですが、自社で使用するロールがたくさんあるので検索できるようになってほしいです。プロフィール画像の設定はGravatarなどと連携設定できるようになるといいなと思います。あとはLDAPのOTP設定がONかOFFかしか選べないので利用サービス単位で細かく設定できるといいですね。これらの細かい使い勝手を上げてもらえると嬉しいです。

OneLogin検討企業様へのアドバイス

これから導入を考えている企業へのアドバイスをお願いします。(長谷川)

いくら細かく設計しても使ってみないとOneLoginの良さはわからないので、とにかくスモールスタートしてみるのがいいと思います。一部で導入して実際に使ってみてから全体に拡大する、といった流れが良いのではないかと思います。
アカツキの考え方からはそれるものですが、社内のシステムを統制する必要がある企業でこそ活用できるのではないかと思っています。弊社のように部門の自由度をなるべく高くもたせるような企業の方が設計や運用は難しくなると思います。

5. ペンティオについて

ペンティオさんには、OneLoginで分からないことがあればサポートで調べていただいたり、米国に問い合わせてもらえるという安心感もありますし、日本語で対応していただけるのが良いですね。場合によっては手順を図も使って詳細に回答いただいたり、マニュアルを作成いただいたり、手厚くやっていただいて助かっています。

本日は非常に中身の濃いお話をありがとうございました。今後も先輩導入企業としてのアドバイス発信をお願いします。

ズーム ダウンフォースHGサス 1台分 アウトバック BR9 EJ25 H21/5~ 2.5L サスペンション

。(長谷川)

▶その他の導入事例記事を見る
▶OneLoginの製品概要を見る

{yahoojp}jpprem01-zenjp40-wl-zd-95578