SaaS

PingOne for Workforceの管理者を管理する

Ping Identity Logo

前回の記事では、PingOne for Workforce(以下、単にPingOneと表記)のトライアル環境を作成する方法について紹介しました。今回はその続きとして、管理者の環境と管理者アカウントについて説明します。

PingOneの組織と環境と管理者の関係

PingOneの組織(Organization)と環境(Environment)と管理者(Administrator)の関係について、簡単に説明します。

PingOneは、組織の中に複数の環境を作ることができます。環境は、他のIDaaSでいうところのテナントに相当するもので、環境の中にユーザーやグループが格納されているディレクトリや、連携するアプリケーションの設定などが含まれています。

組織が作成されると、必ずAdministratorsという名前の特殊な環境が作成されます。トライアル環境を作成するときに作成したアカウントは、このAdministrators環境に含まれます。Administrators環境は、管理者アカウントを追加し、管理者のロールや、認証方法などを管理するために使います。

管理者に割り当てるロールによって、組織全体を管理したり、環境を管理したりする権限を付与します。管理者に他の環境を管理する権限を付与できるので、管理対象の環境にアカウントを作成する必要はありません。Administrators環境ではない環境のアカウントに、管理者ロールを付与することもできますが、推奨されていません。管理者アカウントをAdministrator環境に作成することで、管理者向けの各種設定は、独立して行える利点があるためです。

詳細については、PingOneのドキュメントの、Introduction to PingOne | PingOne を参照してください。

Administrator Securityの確認

管理者がPingOne管理コンソールにサインインする際に使う認証方式の設定ができます。左メニューの、Settingsの中の、Administrator Securityを開きます。

現在のデフォルトは変更する必要はないので、ここでは設定内容を確認します。

  • 認証ソースはPingOne
    • 外部IdPが登録されている場合は、そちらで認証するように変更できる
  • MFAとして使える認証方法は、TOTP、Email、FIDO2(Passkeyも対応)
    • MFAは必須なので、いずれかの方法が有効でなければならない
  • アカウントリカバリーが有効
    • メールでリカバリーコードを受け取ることができる

管理者ロールについて

PingOneの管理者ロールで、まず注意が必要なのは、いわゆるスーパー管理者や全体管理者に相当するロールはない、ということです。何でもできる権限を持つロールはなく、例えばディレクトリ関係の権限(ユーザーやグループなどを管理する権限)は、Identity Data Adminが持っているが、Organization Adminや、Environment Adminは持っていません。

「何でもできる権限」を持たせるためには、少なくとも以下の管理者ロールのアサインが必要です。

  • Organization Admin
  • Environment Admin
  • Identity Data Admin

Organization AdminとEnvironment Adminは、Org単位、Identity Data Adminは、Environment単位で権限を付与します。

その他、PingOne DaVinciを使う場合はDaVinci Admin、PingFederateと連携する場合は、PingFederate Adminなど、別のロールが必要になります。また、アプリケーション単位やポピュレーション単位で権限を付与することもできるので、権限の委任がやりやすくなっています。

また、カスタムロールを使って、細かく権限を付与することもできます。

管理者ロールについての詳細は、以下のドキュメントが参考になります。

グループによる管理者ロールの割り当て

PingOneのグループには、管理者ロールを割り当てることができます。複数の管理者ロールを割り当てたグループを作成し、ユーザーを所属させることで、ユーザーに管理者ロールを割り当てられます。 グループには複数のロールを割り当てられるので、複数のロールの割り当てを簡単に行えます。

ユーザーアカウントに直接ロールを割り当てるのではなく、役割に応じたグループを作成し、グループメンバーシップによるロールの割り当てをした方が良いでしょう。

まとめ

PingOneの管理者にまつわる機能について紹介しました。PingOneは、組織と環境という異なる管理単位が存在し、それぞれに対する管理権限を割り当てるロールが細分化されています。権限を適切に割り当てることで、必要最小限の権限を与えることができます。

次回は、ユーザーを作成するところから、SAMLを使ってアプリケーションと連携するところまで、設定する手順を紹介したいと思います。

Isobe Kazuhiko

Web業界で上から下まで色々なことを経験してきて、今は、Identityに関することを中心にやってます。

記事一覧