ユーザーにアプリのパスワードを知らせずに運用する

情報セキュリティ上、パスワードは情報は必要最低限の人しか知らせるべきではありません。しかし、ユーザー自身が自分のパスワードを知っている場合、パスワードを別な人にパスワードを教えてしまうことが物理的に可能となります。

また、会社で使っているアプリのパスワードを知っているということは、会社を辞めた後でもそのパスワードを利用して、会社や顧客のアクセスができてしまう可能性があります。これは、セキュリティ面でのリスクとなります。

トラスト・ログイン(旧 SKUID)を使うと、こうしたリスクを回避するために「利用ユーザーにパスワードを知らせずに、トラスト・ログイン(旧 SKUID)経由でアプリにログインさせる」ことができます。

登録方法は「マニュアルで1人ずつ登録する」方法と、「複数人のパスワードを一括登録する」方法の2通りがあります。

マニュアルで1人ずつ登録する

1.企業アプリの登録

はじめに、管理者がトラスト・ログイン(旧 SKUID)のログインページからログイン後、画面上の歯車アイコンをクリックし、管理画面に移動します。

0_0a.png

左サイドバー「アプリ」→「アプリ登録」と進みます。

1_2a.png

追加したいアプリを「アプリを検索」欄に入力し、アプリを選択(チェックを入れる)、「次へ」と進みます。ここでは例としてAWS (Amazon Web Services) を利用します。

a1_amazon.PNG

企業アプリ登録時に、必要に応じてアプリの表示名称を変更できます。今回はそのまま「AWS (Amazon Web Services)」としています。最後に「登録」を押します。

a2_amazon.PNG


2.企業アプリにメンバーを追加

次に、登録したアプリを選択します。

b1_app.PNG

アプリごとの管理画面が表示されるので、右の「メンバー追加」をクリックします。

b2_app.PNG

追加したいメンバーにチェックを入れ、最後に右上の登録をクリックします。これで登録完了です。

Updated_b3_app.png

3.各人のIDパスワードの設定

最後に、各ユーザーが用いるIDとパスワードを登録します。まず、左サイドバー「メンバー」をクリックし、次にパスワードを設定したいユーザー名をクリックします。

member.PNG

次に、中段の「アプリ」をクリック後、カーソルをアプリ上に持って行き、編集ボタン(鉛筆マーク)をクリックします。

c1_member.PNG

ID(メールアドレス)、パスワード入力後に右上の「保存」ボタンを押して設定完了となります。

c2_member.PNG

一般ユーザーがトラスト・ログイン(旧 SKUID)にアクセスした際、管理者が登録したアプリが鍵マークとともにトップ画面に表示されます。アプリのアイコンをクリックするとシングルサインオンできるようになります。

c3_member.PNG


複数人のパスワードを一括登録する

次に、管理者が複数人のアプリのIDパスワードを一括で設定する方法をお伝えします。2名以上のパスワードを同時に登録する場合は、こちらの方法を使うのが便利です。

1.企業アプリの登録

企業アプリの登録方法は「マニュアルで一人ずつ登録する」場合と同じです。上記の説明をご覧ください。

2.パスワードの一括代理設定

左サイドバー「アプリ」→設定したいアプリ(今回は AWS)を選択すると、下の画面が表示されます。右上の「パスワード一括代理設定」をクリックします。

d1_dairi.PNG

パスワードを一括代理設定したいメンバーにチェックを入れ、右上の「次へ」をクリックします。

Updated_b3_app.png

一括登録用のCSVが登録可能になりますので、ダウンロードします。

ikkatsu_3.PNG

CSVファイルをExcelなどで開きます。ユーザーのトラスト・ログイン(旧 SKUID)登録メールアドレスは既に入力されているので、「メールアドレスまたは電話番号(ID)」「パスワード」を入力します。

d3_dairi.PNG


ファイルをアップロードして、「次へ」をクリックします。これで設定完了です。

d4_dairi.PNG

一般ユーザーがトラスト・ログイン(旧 SKUID)にアクセスした際、管理者が登録したアプリが鍵マークとともにトップ画面に表示されます。アプリのアイコンをクリックするとシングルサインオンできるようになります。

c3_member.PNG


注意点

この機能で自動入力されるパスワードはブラウザを操作することで確認できます。操作者に対しパスワードを完全に秘密にすることはできません。ご注意ください。

ユーザーのブラウザにパスワードを保存させたくない場合は、各ブラウザのユーザー用ポリシーを利用し、「パスワードマネージャー」を無効にするなどの設定を行ってください。

ユーザーにアプリのパスワードを知らせずに運用する

情報セキュリティ上、パスワードは情報は必要最低限の人しか知らせるべきではありません。しかし、ユーザー自身が自分のパスワードを知っている場合、パスワードを別な人にパスワードを教えてしまうことが物理的に可能となります。

また、会社で使っているアプリのパスワードを知っているということは、会社を辞めた後でもそのパスワードを利用して、会社や顧客のアクセスができてしまう可能性があります。これは、セキュリティ面でのリスクとなります。

トラスト・ログイン(旧 SKUID)を使うと、こうしたリスクを回避するために「利用ユーザーにパスワードを知らせずに、トラスト・ログイン(旧 SKUID)経由でアプリにログインさせる」ことができます。

登録方法は「マニュアルで1人ずつ登録する」方法と、「複数人のパスワードを一括登録する」方法の2通りがあります。

マニュアルで1人ずつ登録する

1.企業アプリの登録

はじめに、管理者がトラスト・ログイン(旧 SKUID)のログインページからログイン後、画面上の歯車アイコンをクリックし、管理画面に移動します。

0_0a.png

左サイドバー「アプリ」→「アプリ登録」と進みます。

1_2a.png

追加したいアプリを「アプリを検索」欄に入力し、アプリを選択(チェックを入れる)、「次へ」と進みます。ここでは例としてAWS (Amazon Web Services) を利用します。

a1_amazon.PNG

企業アプリ登録時に、必要に応じてアプリの表示名称を変更できます。今回はそのまま「AWS (Amazon Web Services)」としています。最後に「登録」を押します。

a2_amazon.PNG


2.企業アプリにメンバーを追加

次に、登録したアプリを選択します。

b1_app.PNG

アプリごとの管理画面が表示されるので、右の「メンバー追加」をクリックします。

b2_app.PNG

追加したいメンバーにチェックを入れ、最後に右上の登録をクリックします。これで登録完了です。

Updated_b3_app.png

3.各人のIDパスワードの設定

最後に、各ユーザーが用いるIDとパスワードを登録します。まず、左サイドバー「メンバー」をクリックし、次にパスワードを設定したいユーザー名をクリックします。

member.PNG

次に、中段の「アプリ」をクリック後、カーソルをアプリ上に持って行き、編集ボタン(鉛筆マーク)をクリックします。

c1_member.PNG

ID(メールアドレス)、パスワード入力後に右上の「保存」ボタンを押して設定完了となります。

c2_member.PNG

一般ユーザーがトラスト・ログイン(旧 SKUID)にアクセスした際、管理者が登録したアプリが鍵マークとともにトップ画面に表示されます。アプリのアイコンをクリックするとシングルサインオンできるようになります。

c3_member.PNG


複数人のパスワードを一括登録する

次に、管理者が複数人のアプリのIDパスワードを一括で設定する方法をお伝えします。2名以上のパスワードを同時に登録する場合は、こちらの方法を使うのが便利です。

1.企業アプリの登録

企業アプリの登録方法は「マニュアルで一人ずつ登録する」場合と同じです。上記の説明をご覧ください。

2.パスワードの一括代理設定

左サイドバー「アプリ」→設定したいアプリ(今回は AWS)を選択すると、下の画面が表示されます。右上の「パスワード一括代理設定」をクリックします。

d1_dairi.PNG

パスワードを一括代理設定したいメンバーにチェックを入れ、右上の「次へ」をクリックします。

Updated_b3_app.png

一括登録用のCSVが登録可能になりますので、ダウンロードします。

ikkatsu_3.PNG

CSVファイルをExcelなどで開きます。ユーザーのトラスト・ログイン(旧 SKUID)登録メールアドレスは既に入力されているので、「メールアドレスまたは電話番号(ID)」「パスワード」を入力します。

d3_dairi.PNG


ファイルをアップロードして、「次へ」をクリックします。これで設定完了です。

d4_dairi.PNG

一般ユーザーがトラスト・ログイン(旧 SKUID)にアクセスした際、管理者が登録したアプリが鍵マークとともにトップ画面に表示されます。アプリのアイコンをクリックするとシングルサインオンできるようになります。

c3_member.PNG


注意点

この機能で自動入力されるパスワードはブラウザを操作することで確認できます。操作者に対しパスワードを完全に秘密にすることはできません。ご注意ください。

ユーザーのブラウザにパスワードを保存させたくない場合は、各ブラウザのユーザー用ポリシーを利用し、「パスワードマネージャー」を無効にするなどの設定を行ってください。