自己紹介

Kyashでコーポレートエンジニアリング業をしています。(完)

はじめに

f:id:rela1470:20191217191026p:plain 2017年の7月に前職でOneLoginを契約してから、ずっとOneLogin Desktopを利用しています。
途中に転職を挟んでいますが、やはり新しい職場でもOneLogin Desktopを選びました!
今回は使い勝手を、リアルに お伝えしたいなと思います!

ということで、アドベントカレンダー3部作(勝手に)の3記事目になります。

2記事までは勤め先であるKyashのアドベントカレンダーでした。
adventar.org

Kyash全体の情シス事情に関する記事はこちら
rela1470.hatenablog.jp

OneLogin 本体についての記事はこちら
rela1470.hatenablog.jp

f:id:rela1470:20191217173933p:plain — 250はてブ以上頂き、週間ランキング14位でした!ありがとうございます!

なんでこんなにブックマークされたのか不思議だったんですけど、付けられたタグがほとんど 後で読む だったので、あ、まだ読まれてないなと思いました笑

前置きが長くなりましたが、今回は普段お世話になっている、corp-engr 情シスSlack アドベントカレンダー #2の、day18になります。
corp-engr.connpass.com adventar.org なんかみなさんエモい話をしている中に空気を読めず恐縮なんですが、OneLoginの話を書き切りたかったので書いちゃいます!

なぜActive Directoryを入れたくなかったか

Kyashはいわゆる中小と呼ばれる会社規模で、いきなり1000人規模とかになる想定もないので、現時点では無理をしてADを導入する必要を感じませんでした。
もちろんオンプレサーバーを社内で保守なんてしたくないし、専用線とかVPNも張りたくなかったんです...

f:id:rela1470:20191216163057p:plain — 当時のAD検討メモ

もちろん企業規模が変われば検討すべきでしょうし、あくまで Kyashの今のフェーズでは ということは改めてご承知おきを。

他の代替ツール

情シスが一度は考えたことがある(2019年12月わたなべ調べ)であろう、Active Directoryがない世界を実現する代替ツールとしては、JumpCloud、 Jamf Connect (旧:NoMAD Login)などがあります。

JumpCloudは、簡易MDM(Policy設定)がついているのが特徴ですね。
jumpcloud.com

Jamf Connectはログイン画面にWebページのログインUIがそのまま出てくるらしいので、わかりやすそう。
www.jamf.com

今回は、以下の理由(と多少の愛)でOneLogin Desktopを選択しました。

JumpCloudに関しては、単品で見れば安いものの、PCログイン以外にSSOのことを考えると、他のプロダクト(1Passwordなど)を組み合わなくてはいけないこと。
Jamf Connectに関しては、2019年7月時点では日本代理店がまだ取り扱っていなかったことや、そもそもWindowsも一括管理したかったこと。

OneLogin Desktopとは

Active Directoryとはちょっと違い、ローカルのアカウントパスワードを書き換えるような動きをするツールになります。

f:id:rela1470:20191216161839p:plain — 常駐のエージェント

メリットとしては、

WindowsとMacの両方を管理できる
- 一括管理できるのは便利!
Windows 10 Homeでも入れられる
- ProやEntを買わなくても導入出来る!
値段がそれなり
- 定価ベースで500円/ユーザー、OneLogin本体が500円〜で、合計1000円〜/ユーザーと、出来ることに比べると安い
オフラインでも使用できる
- OneLoginに障害が起こっていても、オフラインにすればログイン出来る
端末に証明書がインストールされる
- OneLoginのログインはKeychainのダイアログをOKするだけになる

デメリットとしては、

WindowsとMacの両方を管理できる
- けどノウハウはまったく別なので同じプロダクトにしなくてもよかったかな...
Windows 10 Homeでも入れられる
- ということは、Proの機能を使うような制御機能はないということです!
値段がそれなり
- JumpCloudのほうが安いですね! トータルの機能で考えると(個人的には)OneLoginですが
オフラインでも使用できる
- アカウントロックはできるけど、紛失後一度もオンラインにならなかったらログインできちゃう
端末に証明書がインストールされる
- ...が、期限は2年。

f:id:rela1470:20191216184122p:plain — Keychainに2年で登録されている

というものがあります。

オフライン状態でも使えるのが結構大事かな...と思います。

f:id:rela1470:20191216183544p:plain — オンライン状態でのログインの場合は、Eventsにロギングされます

使い勝手

インストーラー

エージェントのインストーラーとアカウントの作成は紐付いていません。アカウント作成は別途必要です。(下記参照) エージェントのサイズは13MBくらい。

初回ログイン

Windowsの場合は、インストール後の初回ログイン時に標準ユーザーが作成されます。
Macの場合は、既存のアカウントに紐づける形になります。

f:id:rela1470:20191217183703p:plain — OneLogin公式サイトより

デバイス一覧画面

AdminページからOneLogin Desktopをインストールしている端末一覧ページにアクセスできます。

PC名
OSバージョン
(Macの場合は)シリアル番号
最終ログイン時間
誰が使用しているか

が取得できます。

f:id:rela1470:20191217184732p:plain — こんなかんじです

f:id:rela1470:20191217185217p:plain — 詳細画面

詳細画面のRemoveを押すと、当該ユーザーでもPCにログインできなくなります。
ただしリモートロックとは異なるので、エージェントをアンインストールすると通常のローカルユーザーに戻るだけです。

改善してほしいところ

色々あります...!

デバイス一覧画面が全く更新されない

PC名、OSバージョン名などがデバイス一覧画面に表示されていますが、これ、実は全く更新されないんです...笑
更新するにはエージェントを再インストールする必要があります。弊社では別のツールで管理しているのでそこまでクリティカルではないですが、MDMなど別のソリューションで管理する必要があります。

エージェントの自動アップデート機能がない

MacOSのアップデートでCatalinaが降ってきた際は、社内の端末がことごとく死んでいきました...
自動アップデート機能がないので、インストールしなおしになります。
まだ社内のIntune + Jamf化をしていないので、手動配布対応をしています...(現在進行系)

というかそういう大事なアップデートがあるなら通知してほしいっすね!

f:id:rela1470:20191216164332p:plain — こういうリリースノートでしれっと書いてるんですよ。ふふふ。

ログイン以外の管理は機能がない

弊社はIntuneとJamfを導入することにしましたが、そういう機能が必要な場合は、JumpCloudのほうが良いかと思います。

相性問題

Version2系の話(2018年ごろ)なので、いまはどうかわかりませんが、某ネズミさんコンピューターのゲーミングPCとOneLogin Desktopの相性が非常に悪く、月に1度程度エージェントを再インストールするハメになってしまいました。
2年半使ってきて、他のメーカーでは一度も起こっていませんが、やはりエージェント方式なので今後も起こりうる話だな、と思いました。

MacのOTP対応

WindowsだけOTPに対応しており、まだMacには対応されていません。
OneLogin本体でWebAuthn対応が始まったので、こちらもそろそろ対応しないかなーと思ってます。

まとめ

なかなか苦労するプロダクトですが、まとめとしては安価で便利なので好きです!
代理店経由で色々文句を言ったことがあるのですが、その際に2020年はOneLogin Desktopを重点的に開発していく(エビデンスはありません!)と仰っていたので、これからの進化に期待しております!

以上、OneLogin Desktopも好きだよっていう記事でした。

あ、投げ銭はこちらです。 kyash_id : rela

rela1470のブログ

rela1470がブログです。

OneLogin Desktopを使い始めて2年半が経ちました