OneLogin Desktopを使い始めて2年半が経ちました
自己紹介
Kyashでコーポレートエンジニアリング業をしています。(完)
はじめに
2017年の7月に前職でOneLoginを契約してから、ずっとOneLogin Desktopを利用しています。
途中に転職を挟んでいますが、やはり新しい職場でもOneLogin Desktopを選びました!
今回は使い勝手を、リアルに
お伝えしたいなと思います!
ということで、アドベントカレンダー3部作(勝手に)の3記事目になります。
2記事までは勤め先であるKyashのアドベントカレンダーでした。
adventar.org
Kyash全体の情シス事情に関する記事はこちら
rela1470.hatenablog.jp
OneLogin 本体についての記事はこちら
rela1470.hatenablog.jp
なんでこんなにブックマークされたのか不思議だったんですけど、付けられたタグがほとんど 後で読む
だったので、あ、まだ読まれてないなと思いました笑
前置きが長くなりましたが、今回は普段お世話になっている、corp-engr 情シスSlack
アドベントカレンダー #2の、day18になります。
corp-engr.connpass.com
adventar.org
なんかみなさんエモい話をしている中に空気を読めず恐縮なんですが、OneLoginの話を書き切りたかったので書いちゃいます!
なぜActive Directoryを入れたくなかったか
Kyashはいわゆる中小と呼ばれる会社規模で、いきなり1000人規模とかになる想定もないので、現時点では無理をしてADを導入する必要を感じませんでした。
もちろんオンプレサーバーを社内で保守なんてしたくないし、専用線とかVPNも張りたくなかったんです...
もちろん企業規模が変われば検討すべきでしょうし、あくまで Kyashの今のフェーズでは
ということは改めてご承知おきを。
他の代替ツール
情シスが一度は考えたことがある(2019年12月 わたなべ調べ)であろう、Active Directoryがない世界を実現する代替ツールとしては、JumpCloud、 Jamf Connect (旧:NoMAD Login)などがあります。
JumpCloudは、簡易MDM(Policy設定)がついているのが特徴ですね。
jumpcloud.com
Jamf Connectはログイン画面にWebページのログインUIがそのまま出てくるらしいので、わかりやすそう。
www.jamf.com
今回は、以下の理由(と多少の愛)でOneLogin Desktopを選択しました。
- JumpCloudに関しては、単品で見れば安いものの、PCログイン以外にSSOのことを考えると、他のプロダクト(1Passwordなど)を組み合わなくてはいけないこと。
- Jamf Connectに関しては、2019年7月時点では日本代理店がまだ取り扱っていなかったことや、そもそもWindowsも一括管理したかったこと。
OneLogin Desktopとは
Active Directoryとはちょっと違い、ローカルのアカウントパスワードを書き換えるような動きをするツールになります。
メリットとしては、
- WindowsとMacの両方を管理できる
- 一括管理できるのは便利!
- Windows 10 Homeでも入れられる
- ProやEntを買わなくても導入出来る!
- 値段がそれなり
- 定価ベースで500円/ユーザー、OneLogin本体が500円〜で、合計1000円〜/ユーザーと、出来ることに比べると安い
- オフラインでも使用できる
- OneLoginに障害が起こっていても、オフラインにすればログイン出来る
- 端末に証明書がインストールされる
- OneLoginのログインはKeychainのダイアログをOKするだけになる
デメリットとしては、
- WindowsとMacの両方を管理できる
- けどノウハウはまったく別なので同じプロダクトにしなくてもよかったかな...
- Windows 10 Homeでも入れられる
- ということは、Proの機能を使うような制御機能はないということです!
- 値段がそれなり
- JumpCloudのほうが安いですね! トータルの機能で考えると(個人的には)OneLoginですが
- オフラインでも使用できる
- アカウントロックはできるけど、紛失後一度もオンラインにならなかったらログインできちゃう
- 端末に証明書がインストールされる
- ...が、期限は2年。
というものがあります。
オフライン状態でも使えるのが結構大事かな...と思います。
使い勝手
インストーラー
エージェントのインストーラーとアカウントの作成は紐付いていません。アカウント作成は別途必要です。(下記参照) エージェントのサイズは13MBくらい。
初回ログイン
Windowsの場合は、インストール後の初回ログイン時に標準ユーザーが作成されます。
Macの場合は、既存のアカウントに紐づける形になります。
ログイン
メールアドレス(orユーザー名)とOneLoginのパスワードでログインします。 Windowsの場合は、再起動後などはOneLoginのパスワードの末尾にOTPの6桁の数字をくっつけてログインします。(Macは3.0.61時点でOTPには対応していません。)
やはり社用パスワードが1つに統一できるのは大きなメリットですね!
OneLogin側のパスワードを変えると、PCのパスワードも概ねリアルタイムに変更されます。
再掲ですが、ADに参加しているアカウントではなく、ローカルアカウントのパスワードを変更するツールだという理解をするのが良いかと思います。
デバイス一覧画面
AdminページからOneLogin Desktopをインストールしている端末一覧ページにアクセスできます。
- PC名
- OSバージョン
- (Macの場合は)シリアル番号
- 最終ログイン時間
- 誰が使用しているか
が取得できます。
詳細画面のRemoveを押すと、当該ユーザーでもPCにログインできなくなります。
ただしリモートロックとは異なるので、エージェントをアンインストールすると通常のローカルユーザーに戻るだけです。
改善してほしいところ
色々あります...!
デバイス一覧画面が全く更新されない
PC名、OSバージョン名などがデバイス一覧画面に表示されていますが、これ、実は全く更新されないんです...笑
更新するにはエージェントを再インストールする必要があります。弊社では別のツールで管理しているのでそこまでクリティカルではないですが、MDMなど別のソリューションで管理する必要があります。
エージェントの自動アップデート機能がない
MacOSのアップデートでCatalinaが降ってきた際は、社内の端末がことごとく死んでいきました...
自動アップデート機能がないので、インストールしなおしになります。
まだ社内のIntune + Jamf化をしていないので、手動配布対応をしています...(現在進行系)
というかそういう大事なアップデートがあるなら通知してほしいっすね!
ログイン以外の管理は機能がない
弊社はIntuneとJamfを導入することにしましたが、そういう機能が必要な場合は、JumpCloudのほうが良いかと思います。
相性問題
Version2系の話(2018年ごろ)なので、いまはどうかわかりませんが、某ネズミさんコンピューターのゲーミングPCとOneLogin Desktopの相性が非常に悪く、月に1度程度エージェントを再インストールするハメになってしまいました。
2年半使ってきて、他のメーカーでは一度も起こっていませんが、やはりエージェント方式なので今後も起こりうる話だな、と思いました。
MacのOTP対応
WindowsだけOTPに対応しており、まだMacには対応されていません。
OneLogin本体でWebAuthn対応が始まったので、こちらもそろそろ対応しないかなーと思ってます。
まとめ
なかなか苦労するプロダクトですが、まとめとしては安価で便利なので好きです!
代理店経由で色々文句を言ったことがあるのですが、その際に2020年はOneLogin Desktopを重点的に開発していく(エビデンスはありません!)と仰っていたので、これからの進化に期待しております!
以上、OneLogin Desktopも好きだよっていう記事でした。
あ、投げ銭はこちらです。 kyash_id : rela