クラスメソッドでIT推進室室長を務める植木氏。社内ツールやサービスの導入、見直しをする情シスの親分ともいえる存在。そんな植木氏のクラスメソッドでの取り組みを紹介する「くらめその情シス”技”」。一人情シスやゼロ情シスで頭を抱えている情シスさんのヒントにしてはいかがでしょうか？　前回に引き続き、OneLogin DesktopによるMacのログイン管理について紹介します。

---

くらめその情シス“技”【番外編】
OneLogin DesktopでMacにログインできたらOneLoginポータルへのログインをバイパスする

前回、MacへのログインをOneLoginユーザーで行う OneLogin Desktop をご紹介しました。（くらめその情シス“技”【番外編】OneLogin DesktopでmacOSのデスクトップ認証をOneLoginユーザーで行う）

しかしながら、デスクトップログインは成功したものの「認証されている端末からのみOneLoginを利用可能にする」という残課題がありました。つまり信頼されたユーザーが信頼された端末から利用した場合のみOneLoginが利用可能になるというものです。（加えてOneLoginからシングルサインオンする各種サービスも）
OneLoginの認証まわりの設定をみたところ「信頼された端末からはOneLoginポータルのログインをバイパスする」ことができるようなので、これを試してみました。

設定

バイパスを許可したユーザーポリシーを作成する

管理画面の”SETTINGS – Policies”から”NEW USER POLICY”をクリックして、新しいユーザーポリシーを作成します。

ユーザーポリシーをユーザーに適用する

”USERS”から設定したいユーザーを選択し、Authenticationタブの”User Security Policy”で作成したポリシーを選びます。

動作確認

動作確認には事前にOneLogin DesktopでMacにログインできるようにしておく必要があります。（参考：くらめその情シス“技”【番外編】OneLogin DesktopでmacOSのデスクトップ認証をOneLoginユーザーで行う）

Macにログインしたらブラウザを開き、OneLoginのポータル画面URL（https://<yourdomain>.onelogin.com/portal/）にアクセスします。

そうすると証明書を選択する画面が表示されるので「OK」をクリックします。

下図は「証明書を表示」した時の画面です。有効期限は2年の模様。

Chromeブラウザの場合、証明書はKeychainに保存されているのでアクセスする際にパスワードが求められるかもしれません。

ブラウザが証明処理手続きを行い、パスワード入力なしでポータル画面が表示されたら成功です！

尚、証明書の選択などに20秒ほど経過するとログインに失敗し、自動的にID/Passwordによるログイン画面に遷移します。

課題

証明書をもっていない端末からでもOneLoginにはログインできてしまう

今回の設定でデスクトップログインが成功している場合にOneLoginポータルへのログインをバイパスすることはできました。しかし、当初期待していた証明書を持っている端末からのみログインを可能にすることは確認できていません。

ユーザーポリシーで証明書を用いた多要素認証(MFA)を設定すれば可能となりますが、今回のログインバイパスとの併用はできない模様です。

ログインバイパスを有効にし証明書によるMFAは無効にする

NG。証明書のない端末からもID/Passwordでログインできる。

ログインバイパスを有効にし証明書によるMFAも有効にする

NG。証明書を持った端末からID/Passwordでログインしてもログイン画面に戻される（謎）。

ログインバイパスを無効にする

OK。ID/Passowrdに加え、証明書もないとログインできない。ただし自動ログインはできなくなる。

その他

Q:クライアント証明書の更新はどうする？

クライアント証明書の有効期限は2年で設定されているようです。つまり2年後には利用できなくなります。

macOSの場合クライアント証明書はOneLogin Desktopをインストールした際に設定される機能で、メニューバーからユーザーによる更新が可能です。

Q:Safariでの利用はできる？

できます。OneLogのポータル画面にアクセスしたところChromeと同様に証明書を要求されログインすることができました。

Q：Firefoxでの利用はできる？

macOS版のFirefoxは証明書管理にKeychainを利用せず独自で管理しているそうです。

できるようではありますが、現状は未確認です。

Q:Keychainに保存された証明書はエクスポートできる？

試してみましたが、エラーになってエクスポートはできませんでした。そのためユーザーが持ち出して別の端末にするということはできなさそうです。

まとめ

今回の設定でOneLogin Desktopでログインした場合に、ポータルサイトへのログインをバイパスすることができました。しかし「課題」にも書いたとおりユーザーの利便性はあがりましたが、セキュリティの観点でいうと強化されてはいません。

結論として、ログインバイパスは諦め、OneLogin Desktopによる端末ログイン + 証明書を用いたポータルのMFAが、ログインを一元管理しつつ、端末認証もでき、セキュリティとしてはより強固になると考えています。

上記の設定を行うユーザーで、しばらく検証を続けてみたいと思います。

---

植木和樹（うえき・かずき）

クラスメソッド株式会社IT推進室室長。IT推進室は2017年7月に正式に開始された部門であり、情シス・経理・労務・営業・マーケといった部門にツールやサービスを展開し、業務を見直すことで効率的な事業・業務が行えることを支援している。

個人としては、WEB黎明期よりホームページ制作やシステム開発に従事する。長らく新潟で製造向けの社内システムの保守運用を行ってきたが、2008年の不況のあおりを受け退職。どうにか地元でITの仕事ができないかという思いでクラウドに興味を持ち、ツイッターで募集していたAWSエンジニアの採用に応募して、現在に至る。

業務の傍ら、月間200万PVを超えるBlog「Developers.IO」にも執筆を行う。