2017年12月20日水曜日

Workspace ONE は コンディショナルアクセス が9割

vExperts Advent Calendar 2017 の 12月20日 分の投稿になります。

今回は、Workspace ONE の重要な機能である、コンディショナルアクセスについてお伝えします。

まず、Workspace ONE は3つの製品群で成り立っています。


枠の中はそれぞれ以下の通りです。

EMM … VMware AirWatch
 → 統合デバイス管理

IDaaS … VMware Identity Manager (通称: vIDM)
 → SaaS アクセス管理

VDI,RDSH … Horizon
 → 仮想デスクトップの提供

VMware AirWatch は AirWatch 社を買収した製品を VMware ブランドでメンテナンスをしつつ販売しているものです。

Horizon はもうおなじみですが、IDaaS である vIDM は、Horizon に含まれている製品であり、以前にお伝えした通り、Horizon Appmanager, Workspace Portal という製品でした。
当時から IDaaS という言葉は存在していませんでしたが、SSO の製品として、昔から VMware としては注目していたようです。

そして、この vIDM のような SSO 製品を Software as a Service として提供しているものが、ID as a Service と呼ばれるものです。

Workspace ONE においては、利用者のアクセスするSSOのインターフェースである vIDM に Workspace ONE のロゴなどを利用して、同線としてまとめ、「Workspace ONE にどのデバイスからでもアクセスすれば必要なアプリが利用できる」ということが実現されています。

また、IDaaS は色々な製品が存在していますが、vIDM の特徴は、Wokrspace ONE として同時に提供される、EMM の VMware AirWatch による、コンディショナルアクセスです。

コンディショナルアクセスとは、SSO の際に EMM として、アクセス元のデバイスが、「脱獄やroot化されていないか、許可されていないアプリがインストールされていないか」などといった、企業として利用するデバイスのコンプライアンスが守られているかどうかによって、SSO させるかどうか許可する仕組みです。

SaaS は インターネットでアクセス可能ですので、もし、IDとパスワードが流出すると、それを利用して、第三者が SaaS を利用可能になって、情報が流出してしまう可能性があります。
それを、AirWatch によって、コンプライアンスを担保する、という仕組みで、それをコンディショナルアクセスとして利用します。

コンディショナルアクセスという言葉は広義です。
EMM によるデバイスのコンプライアンスチェックだけではなく、アクセス元によっても SaaS の SSO 許可を制御可能です。

ただ、昨今、自宅や、移動中でも会社のメールや資料を確認する機会は増えています。スマートフォンやタブレットは持ち運んでこそ便利に活用できますので、もし、会社以外からアクセスする場合には、ワンタイムパスワードも二要素目として認証されれば、SaaS のSSO を許可する、という制御も可能になります。


ちなみに、ワンタイムパスワード (VMware Verify)は、Workspace ONE の標準機能としてどのエディションでも利用可能です。

今回はご紹介しきれませんが、これ以外にももちろん、証明書の利用や、Active Directory の認証情報も認証の要素として利用可能です。

デバイスや場所に応じた認証を実現するコンディショナルアクセスによって、より安全に企業として SaaS の利用を促進できるのではないでしょうか。

最後に、私たち ThinApper にとってはヒーローである、ThinApp Essentials を執筆した Peter が、vIDM の ICM を作り、VMware 社内で MVP を受賞したそうです。

いち早く、このコースが日本で開催されることを期待しています!!

VMworld で Peter と…

0 件のコメント:

コメントを投稿