Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
HENNGEからAzure ADへの認証基盤切り替えをした話
Search
KTCコーポレートITグループ
August 03, 2023
Technology
4
2k
HENNGEからAzure ADへの認証基盤切り替えをした話
【第1回】KINTOテクノロジーズ MeetUp!での登壇資料です。
イベントURL:
https://kinto-technologies.connpass.com/event/289977/
KTCコーポレートITグループ
August 03, 2023
Tweet
Share
More Decks by KTCコーポレートITグループ
See All by KTCコーポレートITグループ
たった1人からはじめる【Agile Community of Practice】~ソース原理とFearless Changeを添えて~
ktc_corporate_it
2
1.1k
アジャイルな情シスやってみた(v2)
ktc_corporate_it
1
340
アジャイルな情シスやってみた
ktc_corporate_it
1
610
Bookingsで健康診断予約改善してみた
ktc_corporate_it
0
330
Jiraでやったった!無人備品貸出なしくみ
ktc_corporate_it
0
380
セルフブランディングのススメ
ktc_corporate_it
0
250
一時アクセスパス機能のご紹介
ktc_corporate_it
0
290
KINTOとKINTOテクノロジーズのヘルプデスクが連携した(していっている)お話
ktc_corporate_it
0
150
Windowsキッティング自動化のススメ
ktc_corporate_it
0
280
Other Decks in Technology
See All in Technology
組織成長を加速させるオンボーディングの取り組み
sudoakiy
2
220
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
0
110
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.9k
安心してください、日本語使えますよ―Ubuntu日本語Remix提供休止に寄せて― 2024-11-17
nobutomurata
1
1k
DynamoDB でスロットリングが発生したとき_大盛りver/when_throttling_occurs_in_dynamodb_long
emiki
1
440
Amplify Gen2 Deep Dive / バックエンドの型をいかにしてフロントエンドへ伝えるか #TSKaigi #TSKaigiKansai #AWSAmplifyJP
tacck
PRO
0
390
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
CDCL による厳密解法を採用した MILP ソルバー
imai448
3
170
生成AIが変えるデータ分析の全体像
ishikawa_satoru
0
170
The Role of Developer Relations in AI Product Success.
giftojabu1
0
140
RubyのWebアプリケーションを50倍速くする方法 / How to Make a Ruby Web Application 50 Times Faster
hogelog
3
950
SRE×AIOpsを始めよう!GuardDutyによるお手軽脅威検出
amixedcolor
0
190
Featured
See All Featured
Typedesign – Prime Four
hannesfritz
40
2.4k
A designer walks into a library…
pauljervisheath
204
24k
VelocityConf: Rendering Performance Case Studies
addyosmani
325
24k
Building Applications with DynamoDB
mza
90
6.1k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.2k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
65k
The Pragmatic Product Professional
lauravandoore
31
6.3k
Into the Great Unknown - MozCon
thekraken
32
1.5k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
Become a Pro
speakerdeck
PRO
25
5k
GraphQLとの向き合い方2022年版
quramy
43
13k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
Transcript
1 HENNGEからAzureADへの 認証基盤切り替えをした話 202307
名前:Rio Maruyama 経歴:⼤学卒業後、未経験で⽂系SEとしてITベンチャー企業に就職。 約3年半勤めた後、2023年4⽉にKINTOテクノロジーズ株式会社へ⼊社。 専⾨的な技術領域:主にM365、Azure AD,MDM周辺の領域に携わる。 趣味:⾟いものを⾷べること、猫を愛でること 2 ⾃⼰紹介 2019/04
2023/04 KINTOテクノロジーズ 株式会社 (SW開発/コーポレートIT) 某ベンチャー会社 (SES/Microsoft系エンジニア)
• ヘルプデスク • キッティング • 資産管理 ヘルプデスク • インフラ管理 ITサポート
⾃⼰紹介 ITチーム • ヘルプデスク等のフロント対応 Tech Service • 定形的な運⽤対応 Infra Support • 社内IT基盤の活⽤と課題解決の仕組みづくり Corporate Engineering • 関係会社⽀援 Enterprise Technology • コーポレートITグループの課題解決エンジン Boost コーポレートITグループ 丸⼭はここ 3
『認証基盤切り替えをした話』 KINTOでは今年の4⽉に認証基盤をHENNGE Access ControlからAzure ADへと切り替えました。 影響を受けるアカウント総数は300~400と決して少なくない中で、いかに影響を出さず⼯夫した点や苦労し た点などをご紹介します。 また、なぜ認証基盤切り替えを実施するにいたったかの背景や社員から実際にあった問い合わせ、切り替え 直後のドタバタなど⾚裸々にお話しします。 💡⽬次💡
1. 認証基盤切り替えの背景 2. 切り替えにあたっての考慮事項 3. 体制や計画 4. 切り替え作業周辺の出来ごと 5. まとめ 4 はじめに
5 認証基盤切り替えの背景
理由その1 ID周りの既存課題を解決するのにAzure ADが最適解だったから (HENNGE Access Controlでは限界を感じた) 6 なぜ認証基盤の切り替えが必要だったのか 既存課題 解決策
各Webサービスでパスワードのセキュリティレベルが統⼀できて いない。 統合できたアカウントについては、 統合認証で指定したパスワードセキュリティが適⽤される セキュリティ監査等により、Webサービスへのログイン履歴を 確認する場合、Webサービス毎に確認する必要がある。 統合認証に対応したサイトについては、ログイン情報が集 約され、Webサービス毎に確認する必要がなくなる。 ユーザーがパスワードを忘れたら、管理者がパスワードリセット するまで当該サイトが利⽤できず、業務停⽌となる。 統合できたアカウントについては、 ユーザー⾃⾝がパスワードを再設定することができる。 現在利⽤しているID/パスワードが、実は既に流出している 可能性があるが、それを確認することはできない。 統合できたアカウントについては、MS社のナレッジにより、 流出しているID/パスワードの利⽤時は通知される。 特権アカウントで厳重なログインの管理ができていない。 (⼀般ユーザーと同じ) 特権アカウントはモバイルデバイスを利⽤した 多要素認証を必須とする等、本⼈確認を厳重にする 〇 〇 〇 〇 〇 〇 〇 〇 〇 統合認証環境を利⽤し、ID/パスワードを統合していく。 (統合認証に対応しているもののみ) PC と各Web サービスで利⽤する ID/パスワード がバラバラになっている。
理由その2 パートナー会社の認証基盤がAzure ADだったため ゆくゆくはAzure ADテナント統合 などの連携強化を⾒据えて実施しておきたかった 理由その3 Microsoft E3ライセンスを持っているのに活⽤できていなかったから、、 (せっかくあるのにライセンス料もったいない)
7 なぜ認証基盤の切り替えが必要だったのか
8 切り替え前の環境 :外部からのメール受信 :外部へのメール送信 :M365 利⽤の通信 <凡例> :認証連携 Internet Azure
AD 社内 外部ネットワーク 送信元 メール攻撃対策 :メール、スケジュー ル <機能概要> :Web 会議、チャッ ト メール セキュリティ Exchange Teams Microsoft 365 Exchange Online Teams 送信先 証明書登録デバイス ※Access Control IP 制限、証明書認証 SharePoint 認証連携 社内 NW デバイス Access Control :認証制御 :ファイルサーバー SharePoint Online Intune 管理 Intune管理 Intune :デバイス管理(MDM) Intune :プロジェクトの対象範囲 認証連携(SAML) ⭐Azure ADを全く使っていないわけではなかった SaaS メール セキュリティシステム 300~400アカウント
切り替え後の環境 Internet KINTO 社内 外部ネットワーク ※Access Control IP制限、証明書認証 社内 NW
デバイス Intune 管理 Intune 条件付きアクセス (IP 制限・Intune 準拠チェック) Microsoft 365 認証連携 (SAML) SaaS メール セキュリティシステム
10 切り替えにあたっての 考慮事項
①アクセスポリシーの再設計 HENNGEで実現していたアクセスポリシーを⾒直す必要があった。 11 切り替えにあたって 考慮事項 HENNGE Accsess Controll アクセスポリシー ①
デバイス証明書を配布したPCは弊社M365環境へのアクセス可能 ② 指定したIP以外からのアクセスをブロック(IP制限) Azure AD アクセスポリシー ① 多要素認証の強制 ② Intune(MDM)に登録されているデバイスからのみ弊社M365環境アクセス可能 ③ アプリごとのアクセス制限など etc 細かいアカウント種別ごとに細かいルールを設定できるようになった AzureAD 条件付きアクセスへの移⾏
②切り替え時のスタッフ影響を極限まで減らすこと 切り替えにあたって、全アカウントのパスワードがリセットされるという仕様があった。 そのため以下を事前に実施した。 12 切り替えにあたって 考慮事項 パスワードが変更されることを(しつこいくらいに)社内周知 変更後のログイン挙動について詳細の⼿順書を事前に展開 当⽇は各オフィス、営業所にヘルプデスクメンバー最低⼀⼈を配置 変更後のパスワードを事前周知
(⽒名+特定の⽂字列といったルールでアカウントごとに設定)
13 スケジュールや 作業体制の紹介
14 ざっくりスケジュール 1 ⽉ 2 ⽉ 3 ⽉ 4⽉ 会議
設計 構築・テスト 認証基盤切替 その他 Microsoft 365 設計 運⽤設計 ・ユーザーマニュアル作成 ・管理者マニュアル作成 Azure AD 条件付きアクセス 設定・テスト・有効化 SaaS 認証連携(SSO)検証 ⭐認証基盤 切替 ヘルプデスクメンバーへの 運⽤連携 定例会(隔週) フォロー期間 切替設計 2023年1⽉下旬〜4⽉下旬(3ヶ⽉)
PJ体制はこんな感じ 15 体制 弊社 業務委託 1名 プロジェクトマネージャー 1名 技術責任者 1名
メンバー 1名 プロジェクト責任者 1名 プロジェクトマネージャー 2名 サポートメンバー 丸⼭ プロジェクト推進担当 計:11名 (6名) ヘルプデスクメンバー 計:3名
ベンダー作業の⼀部を内製化することで、業務委託のコストを削減(20%ほど) ⇨KINTO/KTCは今後も内製化を⽬指していく 超ざっくりやったこと⼀覧 16 ベンダー利⽤について 作業 説明 移⾏設計 HENNGE Access
ControlからAzure ADに認証を変更するための設計 基本設計 Azure ADの詳細設計を⾏うための基本的な設計 詳細設計 Azure ADの設定を⾏うためのパラメータ設計 設定作業 詳細設計で設計した内容を元に設定 切替作業 HENNGE OneからAzure ADに認証の切替 クラウド連携⽀援 SAMLに対応したクラウドサービスとの連携 問合せ⽀援 Azure AD統合に関するQA対応 ユーザー向け変更点説明資料作成 Azure ADへの統合に伴い既存環境から変更される箇所について ユーザーへの簡易説明資料作成 管理者向け運⽤マニュアル作成 管理者が運⽤で利⽤するマニュアル作成
17 切り替え作業周辺のトラブル
その1 切り替え前の段階で「⼿順書がわかりにくすぎる!」「こちら側への影響がよくわからない」 との問い合わせを多数いただいてしまった 反省:エンジニア的な視点/切り替え作業者の視点を資料やアナウンス⽂に盛り込み過ぎてしまった。 情報過多。スタッフ⽬線での不安なポイントや簡潔に実施して欲しいことを重視するべきだった。 その2 切り替え後のログインケースの想定が抜けていたことにギリギリで気づく 何かというと… 切り替え後のログイン動作として 「PCを起動してパスワードを⼊⼒してログインする」を想定していた、、が
「PCを起動してPINを⼊⼒してログインする」というケースが考慮漏れ。 これによって何がまずかったか… 事前のアナウンスで『切り替え後は変更されたパスワードでログインしてください!』を徹底していたため PINの⼊⼒画⾯で⼊ろうとしたスタッフが間違ったものを⼊⼒してしまうというリスクが発⽣してしまった。 ⇨慌てて展開資料の修正とアナウンスを修正 18 切り替え作業周辺のトラブル
その3 切り替え作業当⽇に設計のミスに気づく アクセスポリシーの⼀つにデバイスの種別による制限を設けていたが ブロックしているデバイスの利⽤ケースがあることに気づいてしまった。 ⇨慌てて関係者に連絡して、⽅針をすり合わせ設計を修正(ギリギリセーフ。。) その4 社⻑から「アクセスできない」との問い合わせをもらってしまう ⇨秘書の⽅に速攻連絡して対応、、、 反省:役職者たちへの事前のアナウンスが不⼗分だった その5
事前資料に展開しているURLが間違っていたことに当⽇気づく SAML連携したアプリのSSO⽤のURLが間違っていた ⇨「⼿順書通りにいかない」という多くの問い合わせで気づき急ピッチで資料を修正 19 切り替え作業周辺のトラブル
20 まとめ
21 まとめ どんなメリットあったか ①PCログオンとAzure ADと連携可能なSaaS製品のログインを統合 ⇨セキュリティレベルを維持したままで、各種SaaSログインを省略 ②セルフサービスパスワードリセットの実装 ⇨ユーザーが⾃分⾃⾝でパスワードをリセット可能になり、IT管理者の負荷低減 ③条件付きアクセスの実装 ⇨柔軟なアクセス許可の設定が可能になりセキュリティの強化
ex)iP(場所),サインイン頻度,時間,端末…etc で条件を設定できる ④パートナー会社と同じ認証基盤化 ⇨今後の連携のための⼟台作り/効率化/スピードUP ⑤ライセンス費⽤削減 HENNGEライセンス料⾦+デバイス証明書代 ⇨年間約240万円のコストカットに成功 結論 切り替え⾃体は成功 当⽇の問い合わせ0件!といった理想的な状態ではなかったものの スタッフにクリティカルな業務影響は発⽣しなかった。
None