プロビジョニングとは
「プロビジョニング」という言葉は、「先を見越して準備する」という語源を持った英語 Provision「提供、準備」から派生した言葉です。 IT分野では、ネットワークやコンピューターの設備を需要に合わせ利用者に割り振る、またはその準備をする意味で用いられています。
インターネットの接続サービスを提供する「ネットワークプロビジョニング」や仮想ストレージを割り振る「シンプロビジョニング」、 クラウドサービスやアプリケーションを適切な権限でユーザーに割り振る「アカウントプロビジョニング」など、プロビジョニングには様々な種類があります。 CloudGate UNO では、その中の「アカウントプロビジョニング」をプロビジョニング機能として提供しています。
プロビジョニングのメリット
プロビジョニングは CloudGate UNO のアカウント情報と CloudGate UNO と連携するサービス側のアカウント情報を同期する機能です。 プロビジョニングの方法によっては、グループ情報や組織情報、ライセンス情報なども同期することができます。 組織改革や人事異動、新入社員や退職者が出た時には、利用する各サービスでアカウントの登録や削除、データの更新作業が 必要となり多くのサービスを利用している場合や対応するアカウントが多い場合などその工数はより増加します。 プロビジョニング機能を利用すると、これらの操作を CloudGate UNO で一括管理することができます。もし各サービスでの作業を手作業で行った場合は作業工数の増加による人為的ミスが 起こりやすくなりセキュリティリスクも高まります。プロビジョニングを活用すれば、管理工数の軽減、人為的作業ミスの削減 により安全で効率的なシステム管理を行うことができます。
CloudGate UNO が対応するプロビジョニング
- SCIM 2.0
- API
SCIM 2.0 は、プロビジョニングのためのプロトコルで、複数のドメイン間でデータをやり取りする規格が定められています。 HTTPベースで APIよりも処理がシンプルになり、すべてに URLが決められています。 SCIM 2.0には、SCIMサーバーと SCIMクライアントという役割があり、 SCIMクライアントは多くの場合 データを管理するアイデンティティプロバイダー(Idp)が務め、 CloudGate UNO も SCIMクライアントに対応しています。 アイデンティティプロバイダーがデータを受け取るために SCIMサーバーになることもできますが、 CloudGate UNO では対応していないためプロビジョニングでの同期はサービスプロバイダーへの一方向しか行えません。 また SCIM 2.0はすべてのサービスプロバイダーに利用できる訳ではなくサービスプロバイダー側で対応していることが必須です。 利用するには、事前に連携するサービスが SCIM 2.0に対応していることの確認が必要となります。
API は、サービスの設定やデータの更新などを行うために、サービスが外部向けに用意する処理の窓口です。 GETや PUTなどの信号で細かくやり取りが行われ、処理は複雑になります。 また独自の仕様が定められるためクライアント側はそれぞれのサービス APIに対応する必要があります。現在、 CloudGate UNO で APIのプロビジョニングに対応しているサービスは、Google Workspace、 Microsoft 365、 LINE WORKS、 cybozu.com、 Boxです。基本的には SCIM 2.0と同様に CloudGate UNO が持つアカウント情報が登録・削除・更新された場合にサービス側のアカウント情報も同じように処理されます。 さらに APIの場合は提供するサービス側の仕様によりグループ情報や組織情報、ライセンス情報なども同期することができます。
Google Workspace | Microsoft 365 | LINE WORKS | cybozu.com | Box | |
---|---|---|---|---|---|
ユーザー | ◯ | ◯ | ◯ | ◯ | ◯ |
グループ | ◯ | ◯ | ー | ◯ | ◯ |
ライセンス | ー | ◯ | ー | ◯ | ー |
組織 | ◯ | ー | ◯ | ー | ー |
- プロビジョニングは同期処理を行いますが 双方向同期ではありません。 CloudGate UNO から連携するサービスへの一方向同期となり、サービス側での変更は CloudGate UNO には反映されません。
- プロビジョニングは SSOと連動しません。 プロビジョニングと SSOは処理のタイミングや扱うデータが異なりますので、 プロビジョニングの設定をONにしても SSOに影響を与えることはありません。
- CloudGate UNO には Active Directoryとの同期機能がありますが、プロビジョニングとは異なるものです。 ただし、Active Directory同期機能とプロビジョニング機能の両方が有効である場合は Active Directory同期に連動してプロビジョニングが行われます。
その他の方法
CloudGate UNO が対応するプロビジョニングの他に、連携するサービス側で対応される処理として「 オートプロビジョニング 」があります。別名、 ジャストインタイムプロビジョニング(JITプロビジョニング) と呼ばれるこの機能は、 CloudGate UNO がサービスへ送る「認証情報」を利用してサービス側が新たにアカウントを生成する機能です。 サービスによってはアカウント情報の更新もできます。 「認証情報」により処理が行われるため簡易的な情報しか取り扱うことはできず、アカウントの削除にも対応できません。 またサービス側の処理となりますので、 CloudGate UNO の「プロビジョニング履歴」に残ることはなく、サインオンに成功しなければプロビジョニングも行われないことにご注意ください。
動作確認済みのオートプロビジョニング対応サービス一覧は こちらです。
各プロビジョニングの比較表
下記の表は、手作業で対応した場合も含め、それぞれのプロビジョニングを比較したものです。
アカウントの登録・更新 | アカウントの削除 | 反映の即時性 | 対応漏れの少なさ | 対応サービスの多さ | 備考 | |
---|---|---|---|---|---|---|
手作業 | ◎ | ◎ | △ | △ | ◎ |
|
SCIM 2.0 | ◎ | ◎ | ◎ | ◎ | △ |
|
API | ◎ | ◎ | ◎ | ◎ | △ |
|
オートプロビジョニング | △ | × | ◎ | ◎ | △ |
|
※ 図表の記号は右の意味で記載しています。 ◎とても良くできる △なんとかできる ×できない
まとめ
CloudGate UNO に連携するサービスをより柔軟に活用するため利用できるのがプロビジョニング機能です。 サービスとの連携に必須な設定ではありませんが、 活用すれば管理工数の軽減やアカウントの登録や削除漏れを防ぐことができ、セキュリティも向上します。 連携するサービスや社員数の多い企業であればより活用のメリットが大きい機能です。
しかし、現在のところサービスにより対応するプロビジョニングが異なるため設定には事前の確認と多少の理解が必要となります。 CloudGate UNO では、SCIM 2.0と APIの2つのプロビジョニングに対応していますのでご利用のサービスに合わせてご活用ください。