2011年4月24日日曜日

登場したクラウド向け総合APポータル
             -OKTA、OneLogin、CloudGate- 

最近のクラウド市場中でOktaの動きは見逃せない。
同社が提供するのはオンプレミスはもちろん、ファイヤーウォールの外にあるSaaSやWebアプリケーションのアクセスマネージメントだ。解りやすく言えば、クラウド時代の総合アプリケーションポータルである。

◆  アクセスマネージメントとは
今日、SaaSやWebアプリとして、CRM、ERP、テレビ会議、人材開発、eメールなど多様なアプリケーションが提供されている。企業にとって、自社独自のミッションクリティカル な業務は別にすると、他のアプリケーションはこれら外部のもの利用する時代となった。
しかし利用するユーザーから見ると、多様なアプリケーションを使い分けるには、正確なアプリのURLやユーザーネーム、パスワードの保持・管理をしなければならず、加えて、既存オンプレミスのアプリもあって煩雑このうえない。一方、IT部門から見れば、どのユーザーにどの外部アプリを使わせるべきなのか、またはどのユーザーが使っているのか、システム全体としてのコンプライアンスは大丈夫か、 ROI(Return On Investment)はどうなるのかなど頭の痛くなる課題が山積する。これらへの解答のひとつがアクセス
マネージメントだ。


◆ How to Use It !
Oktaがどのようになっているのか見てみよう。
まず、初期画面からログオンする。Oktaは Active DirectoryベースのSingle Sign On (SSO)となっているので、一度、ログオンすれば、以降、どのアプリケーションも自由に使うことが可能だ。そしてパーソナライズされたポータル画面(左上)が表示される。SaaSでも、Webアプリでも、オンプレミスでも、実行はワンクリックでOKだ。このためには事前のアプリケーション登録やユーザー別の利用選定などが必要となる。アドミニストレータ向けダッシュボー ド(右上)ではアプリケション管理、ユーザー利用状況、セキュリティーポリシーなどが掌握できる。Oktaは構造的(右図)に、ユーザー認証とユーザー管理機能を持ち、ロギング&レポーティングが付帯している。以下は主な特徴である。

1. Controlling User Access
今日、ユーザーニーズの多様化から、何処でも、どのようなデバイスやブラウザーからでも、アプリへのアクセスを保証しなければならない。このための中央側の仕組みがユーザーアクセス制御だ。

2. Password Fatigue
外部のSaaSやWebアプリは基本的に異なるパスワードを要求する。OktaはこれらにSSOで対応し、さらにセキュリティー向上のために、内部的にコードを生成して定期的に変更する。

3. Collaborative Administration
また外部のクラウドアプリは独自の運用ルールを持っており、その適用は煩わしい。このためIT部門とビジネス部門で情報を共有し、共同管理の仕組みが提供されている。

4. On-Premise Directory Integration
SSOによる外部アプリケーションへの統一アクセスだけでなく、オンプレミスのディレクトリーも統合、これによって、エンドユーザーの作業は大幅に軽減される。

5. Managing Compliance and ROI
そして、最終的なROI(Return On Investment)を確かなものにするために、外部アプリ別利用状況を分析し、契約条件へ反映する。さらに外部アプリ別のコンプライアンスを定期的にチェックする。

◆ OneLoginの試み
さて、この分野で活動しているのはOktaだけではない。
OneLoginもActive DirectoryベースのSSOと、ワンクリックのSaaSポータルを提供している。そして今年3月末からはオープンソースのSAML (Security Assertion Markup Language)のツールキット提供が始まった。これは外部プロバイダーの提供するサインオン機能とポータルのSSOをマッピングするこれまでの受身の方法から、OneLoginがよりセキュアなSSO構築のためのツール (SAML)を提供して、プロバイダーがサインオンの手順を改修する能動的なものである。これによって、プロバイダー毎にバラバラなセキュリティーレベルを同じ基準で引き上げようという作戦だ。


 より総合的なホスティングCloudGate
ManagedMethodの提供するCloudGateはより総合的だ。
そして何よりも、大きな違いはHostingサービスである。受託するセンターはロードバランサー付きクラスターで、監査基準はSAS 70Ⅱ対応だ。またセキュリティーでは、HTTPS対応のCloudGate gatewayや侵入検出-ID(Intrusion Detection)、脆弱性テストなどを備えている。これらによって、委託ユーザー企業は、より高度なセキュリティーと処理拡大に伴う拡張性を保持するこ とが出来る。

-----------------------------
米国クラウド市場の動きは早い。
多くの企業ユーザーは、従来のオンプレミス一辺倒から脱し、パブリッククラウドと併用するハイブリッド化が進んでいる。さらに、従来からエンドユーザー利用が進んで いる外部SaaSやWebアプリケーションも相変わらず活発だ。問題はこれらを安全に効率よく、しかもROIを考えて運営するためにはどうすれば良いのかだ。Oktaソリューションはそのひとつの回答である。このようなアプローチは、2年前、Sunが提唱していたCloud Portalに始まり、連邦政府の始めたクラウドサイトAppsApps関連記事)にも見ることが出来る。Appsでは専用認証システムによるSSOだけでなく、外部プロバイダーとの契約条件や支払い方法なども統一されている。ただ、これは連邦政府(ないしは大企業)だから出来ることだ。一般企業においては、基本機能として、ユーザー向けのアプリケーションメニューとSSO機能の整備、IT部門には社内外全体のアプリケーションを管理する仕組みを作り出すことが急務である。また、 OneLoginの提案するプロバイダーのログインプロセスへの新しい試みも興味深いし、CloudGateのHostingも今後、どの程度伸びるか注目に値するだろう。