SaaS

IdPが持つパスワード代理入力の機能とパスワードマネージャー(Keeper)の違い

Hello,World! gonowayです。

業務利用するSaaSがSSO連携をオプションプランとしていたり、最上位プランでしか利用できない場合や、そもそもSAML認証には全く対応していない等の理由で、IDとパスワードでログインすることありますよね。

Azure ADやOkta等のIdPには、SAMLやOpen ID Connect等のプロトコルを使ったフェデレーションの連携方法以外に、IDとパスワードを代理入力する機能を持つ場合があります。

ただこの機能があるにも関わらず、弊社はパスワードマネージャーであるKeeperも利用しています。

なんで?二重コストじゃないの?って思いますよね。今回はそんな疑問にお答えする記事を書いていきます。

IdPの代理入力機能の紹介

別ブログで弊社たつみんが紹介しているので、Oktaを例に取り上げます。

Oktaでは管理者からの設定方法とユーザーからの設定方法の2種類あり、どちらも良し悪しについてまとめます。

管理者からの設定方法

SAML対応していないSaaSとの連携ついて教えて!(よくあるお問合せ-Okta編)
こんにちは!たつみんです! OktaなどのIDaaS製品ではSAML連携が行えることが大きな特徴だと思います。…
blog.cloudnative.co.jp

ざっくりお伝えすると、管理者がWebサイトのログインページを開き、ブラウザのデベロッパーツールを使ってIDとパスワードの入力フォームの場所をOktaに設定するものです。

良いポイント

  • OktaダッシュボードにSSOアクセスのアプリと代理入力アクセスのアプリの双方を表示できる。

悪いポイント

  • アプリの数が増えるほど管理者側の設定・管理負担が大きい
  • 多要素認証までは対応していない
  • モバイル端末での利用の際に制約がある。
  • ユーザー側にパスワードを登録させる設定の場合、そのパスワードの強固さ・脆弱性が把握できない。
  • Webサイトの変更に追従できない。

ユーザーからの設定方法

アプリを使用する | Okta
Okta End-User Dashboardは、企業アプリおよび情報へ安全にアクセスできるプラットフォームです。Okta End-User Dashboardのユーザー向けに、サインオン情報の変更、タブ…
help.okta.com

管理者が許可していれば、ユーザーが自身で利用するアプリケーションを追加することも可能です。

良いポイント

  • OktaダッシュボードにSSOアクセスのアプリと代理入力アクセスのアプリの双方を表示できる。
  • 管理者の負担が少ない

悪いポイント

  • IDとパスワードを他のユーザに共有できない。
  • 多要素認証までは対応していない
  • モバイル端末での利用の際に制約がある。
  • ユーザー側にパスワードを登録させる設定の場合、そのパスワードの強固さ・脆弱性が把握できない。

このように代理入力機能は利用できるものの痒い所に手が届かない側面があります。

ではパスワードマネージャーではどうか?

弊社で利用中のパスワードマネージャーであるKeeperはIdPの代理入力では実現できなかったことをカバーできます。

ユーザー自身でパスワード情報の登録・共有ができる

ユーザー自身がパスワードをパスワードマネージャーに登録することや他ユーザーへの共有ができます。

IdPの代理入力の設定の場合よりも管理者負担が減りますし、ユーザー体験も向上します。

TOTP用の二要素認証コードを格納できる

Keeperでは以下のように、TOTP(Time-based One-time Password)の二要素認証コードを格納できます。

通常はIDとパスワードを入力後にTOTPの二要素認証コードは別の認証アプリケーションで、という流れかと思いますが、Keeperだけで完結できますしKeeper側で自動入力もしてくれます。

ユーザー体験はもちろんのこと、多要素認証も利用できる点でセキュリティも担保できます。

モバイル端末でもPCと同様に使える

iOSとAndroid双方でアプリケーションがあり、PCと同じ使用感で利用が可能です。

またそれぞれIDとパスワードの自動入力にも対応しています。

iOS用自動入力設定 – User Guides (JP)
Apple iOS(iPhone、iPad)デバイス用KeeperFill(Keeperの自動入力機能)の設定ガイド
docs.keeper.io
Android用自動入力設定 – User Guides (JP)
Androidスマートフォンおよびタブレット用KeeperFill(Keeperの自動入力機能)の設定ガイド
docs.keeper.io

ユーザーが登録したパスワードの複雑さ・使い回し・脆弱性をチェックしてくれる

ユーザーがパスワードマネージャーに登録したパスワードの複雑さはどうか、使い回ししていないか、ダークウェブに流通しているような脆弱なパスワードを使っていないかを管理者側からチェックすることができます。なお、具体的なパスワード文字列は見えません。

管理者はこれらの情報をもとにユーザーに変更を促し、ユーザが変更することで組織はよりセキュアな状態となります。

BreachWatch(ダークウェブ) – Enterprise Guide (JP)
Keeper Enterpriseのゼロ知識ダークウェブ侵害スキャン
docs.keeper.io
セキュリティ監査 – Enterprise Guide (JP)
管理コンソールでのパスワードセキュリティの強度レポート
docs.keeper.io

Webサイトの変更に追従できる

Webサイト側の変更で、IDとパスワードの他に企業コードのような入力欄が増えたり、IDの入力ページとパスワードの入力ページが分かれたりとすることがあります。

そういった場合、IdPの代理入力の場合は変更に追従できずまた1から設定のし直しが必要ですが、Keeperでは同じID・パスワード情報を使える、またはその企業コード用のカスタムフィールドを追加するだけの軽微な変更で済みます。

またそのカスタムフィールドも自動入力の対象となりますので、ユーザー体験が悪くなりません。

Keeper機能紹介: カスタムフィールド – IT Admin Blog presented by ZUNDA
Keeperの「カスタムフィールド」機能を使いこなすと、サイトの入力を便利にするだけでなくセキュリティを高めることもできます
blog.zunda.co.jp

まとめ

業務上パスワードを使う機会が少なければ、IdPが持つ代理入力機能でカバーできると思います。

ただパスワードを使う機会が多い場合は、IdPの代理入力機能の設定等といった管理者の運用コストやユーザー体験を考えると、IdPとは別にパスワードマネージャーも利用したほうがよいです。

またパスワードにおけるセキュリティやガバナンス面が気になる場合もパスワードマネージャーがあれば安心ですね!

おまけ

Webブラウザのパスワードマネージャーとの違いやSSOとの棲み分けについては、Zunda社の記事がありますのでご興味あれば参照ください。

Webブラウザのパスワードマネージャーと Keeper の違い – IT Admin Blog presented by ZUNDA
Webブラウザのパスワードマネージャーのリスクと、Keeper を利用するメリットについてご紹介します。
blog.zunda.co.jp
パスワードマネージャーとSSOの棲み分け – IT Admin Blog presented by ZUNDA
IdPを使ったSSOの活用とパスワードマネージャーの共存について、よくご質問をいただきます。今回はその疑問について、1つのアイディアをご紹介したいと思います。
blog.zunda.co.jp

gonoway

青森県八戸市出身。そう、八を五に変えることでgonowayの完成。
グンマーの大学を卒業後、中堅SI会社でセキュリティを5年間担当。
2019年4月からクラウドネイティブにジョインし、デバイスを中心に担当。
スムージーで体を整え、ビールで心を整える。そんな日々。

記事一覧