Google の Cloud Identity を作成して、組織のアカウント管理する　追加設定

要旨

この記事は、 Google の Cloud Identity を作成して、組織のアカウント管理する　基礎編 (以下、基礎編) の続きです。

基礎編で用意した Cloud Identity を利用して、 Google Cloud の設定を行います。

基礎編では、以下の内容を実施しました。
1. 新しい Cloud Identity アカウントを作成する
2. Cloud Identity の初期設定を行う
3. Google Cloud に対する権限を付与する

追加設定として以下の内容を実施します。
1. Active Directory と連携する
2. 組織の MFA ポリシーを有効にする

他の記事は以下のリンクを参照してください。

・ 基礎編
・ 追加設定 (本記事)

手順

ここでは、 Cloud Identity に対して有用な追加管理と、その手順へのリンクを示します。

1. Active Directory と連携する
2. MFA を有効にする

1. Active Directory と連携する

組織のアカウントを管理する上で、組織の Active Directory と連携することは有効な選択肢となります。

Cloud Identity では、Active Directory と連携するために Google Cloud Directory Sync (GCDS) による Provisioning (登録・削除の連携) と Active Directory Federation Services (AD FS) などの Federation による Single Sign On (SSO) を用意しています。

引用元: Google Cloud と Active Directory の連携

GCDS を利用することで、Active Directory 上のユーザーの登録・削除を Cloud Identity に Provisioning (登録・削除の連携) することが可能です。
GCDS による Provisioning にはパスワード情報などは含まれないため、機微情報の漏洩に対して堅牢です。
また、グループ情報も同様に Cloud Identity へ Provisioning されるため、グループを用いた権限管理も Active Directory を用いる場合と同様に行うことが可能です。

参考
同期の対象

GCDS で連携したアカウントにログインするため、AD FS 等による SSO 構成が追加で必要です。

構成する際は、以下の手順を参照してください。
以下の手順が詳しいため、ここでの詳細の記載は省略します。

• Cloud Identity と Active Directory の連携の全体
  • アカウントと組織の計画に関するベスト プラクティス
  • Google Cloud と Active Directory の連携
• GCDS によるユーザー Provisioning
  • Active Directory ユーザー アカウントのプロビジョニング
• AD FS による Federation の構成
  • Active Directory のシングル サインオン

2. 組織の MFA ポリシーを有効にする

クラウド上のアカウントを保護する上で、MFA は重要なセキュリティ対策となります。

Cloud Identity ではいくつかの選択肢が用意されています。

• セキュリティキー
  • Titan Security Key など、物理的なデバイスを用いた MFA。
  • もっともセキュリティが堅牢な選択肢。
• Google からのメッセージ
  • Android や Apple アプリへのプッシュ通知を用いた MFA。
• Google 認証システムアプリ
  • Google 認証システムを用いた Time-based One-time Password (TOTP) による MFA。
• SMS / 電話
  • 携帯電話の Short Message Service (SMS) や、電話による MFA。
  • この方法は、海外では回避法が見つかっているため非推奨となります。

基本的な選択方法としては、特権管理者や機微情報を取り扱う場合は『セキュリティキー』を利用し、一般の利用には『Google からのメッセージ』や『Google 認証システムアプリ』 を用いるのが推奨されています。

引用元: 会社所有のリソースに均一の MFA を適用する

参考

• MFA の全体
  • 会社所有のリソースに均一の MFA を適用する
• MFA の設定
  • 2 段階認証プロセスを導入する

本手順では以下の作業を実施します。

1. 組織部門の作成
   • MFA を設定する範囲を限定するため、組織部門を作成
2. 組織部門へユーザーを移動
   • MFA を適用するため、ユーザーを組織部門へ移動
3. MFA の設定
   • MFA を組織部門に設定
4. MFA が強制されることを確認
   • 設定した内容で、設定が強制されることを確認

1. 組織部門の作成

『組織部門』(Organizational Units) (OU) とは、ユーザーの所属階層を表しています。
MFA などの構成は組織部門単位に付与することが可能です。

上述した通り、特権管理者によるアクセスや、機微情報を扱う場合にはセキュリティキーなどの強固なセキュリティキーによる認証を実施することが推奨されています。

ここでは、以下の組織例に従い組織単位を作成し、MFA を設定します。

• 検証用 (組織の最上位単位、一般的には組織名が入る)
  • 特権管理者 (セキュリティキーによる MFA を強制する)
  • 一般ユーザー (認証システム等による MFA を実施)

なお、一般ユーザーについても SMS 上述のとおり安全性が担保できないため、禁止とします。

1. 管理コンソールへアクセス

組織部門 の管理コンソールへアクセス。

2. 特権管理者 組織部門の作成

• 『組織部門の作成』を選択

• 『組織部門の名前』『説明』に『特権管理者』を入力
• 『親の組織部門』に組織の最上位組織部門を選択 (今回の例では検証用)
• 『作成』を選択

3. 一般ユーザー 組織部門の作成

• 『組織部門の作成』を選択

• 『組織部門の名前』『説明』に『一般ユーザー』を入力
• 『親の組織部門』に組織の最上位組織部門を選択 (今回の例では検証用)
• 『作成』を選択

4. 確認

• 組織部門の構成が正しいことを確認

以上で、組織部門を構成することが完了します。

2. 組織部門へユーザーを移動

既存ユーザーを作成した組織部門へ移動します。

検証環境では、以下のように指定します。
(なお、ユーザーの作成方法についてはここでは記載しません。)

• 検証用 (組織の最上位単位、一般的には組織名が入る)
  • 特権管理者
    • Yamada Taro
  • 一般ユーザー
    • Suzuki Ichiro

手順については同一のため、特権管理者への移動のみ記載します。

1. 管理コンソールへ移動

ユーザー の管理コンソールへアクセス。

• 『すべての組織部門のユーザーを選択』

2. 特権管理者へ移動

• 移動したいユーザーを選択 (今回の場合、特権管理者)

• 『その他のオプション』を選択し、『組織部門を変更』を選択

• 『特権管理者』を選択
• 『続行』を選択

• ユーザー移動の確認の内容を確認
• 『変更』を選択

2. 一般ユーザーへ移動

同様の手順で、一般ユーザーへ移動する。

3. 確認

• 『選択した組織部門のユーザー』を選択
• 『特権管理者』 を選択
• ユーザーが移動していることを確認

以上で、既存ユーザーを組織部門へ移動することができました。

3. MFA の設定

1. 管理コンソールへ移動

セキュリティ > 2-Step Verification の管理コンソールへ移動

2. 特権管理者の MFA を設定

セキュリティキーによる強力な MFA を強制可能なように構成します。

• 『特権管理者』を選択

• 『ユーザーが 2段階認証プロセスを有効にできるようにする』をチェック
• 指定日以降に強制を選択し、設定が完了する日 (組織の状況による) を入力

• 新規ユーザーに対応するため、『新しいユーザーの登録期間』を任意に設定

• 『信頼できるデバイスの登録を許可する』からチェックを外す。

• 『方法』から『セキュリティキーのみ』を選択

• 『2段階認証プロセスのポリシーの停止猶予期間』を選択
• 『セキュリティコード』に『リモートアクセスで使用する…』を選択

• 『オーバーライド』を選択

3. 一般ユーザーの MFA を設定

Google 認証アプリなどの一般的な MFA を構成します。

• 『一般ユーザー』を選択

• 『ユーザーが 2段階認証プロセスを有効にできるようにする』をチェック
• 指定日以降に強制を選択し、設定が完了する日 (組織の状況による) を入力

• 新規ユーザーに対応するため、『新しいユーザーの登録期間』を任意に設定

• 『信頼できるデバイスの登録を許可する』を任意でチェック

• 『方法』から『テキスト メッセージまたは音声電話で…』を選択

• 『オーバーライド』を選択

以上で、組織用の MFA を構成することができました。

4. MFA が強制されることを確認

1. 初回ログイン時の注意

初回アクセス時には『新しいアカウントへようこそ』として、契約文書が表示されるため、内容を確認して『理解しました』を選択します。

パスワードの変更が求められる場合がありますので、その場合は新しいパスワードを登録してください。

2. 管理者ユーザーの MFA を確認

Google アカウント へアクセスします。

• 『Google アカウントに移動』を選択
• 設定したメールアドレスとパスワードでログイン

• 『キーを登録』を選択

• 『次へ』を選択

• セキュリティキーのセットアップで『OK』を選択
• ウィザードに従いセットアップを進める

• 『セキュリティキー名』を任意に入力
• 『完了』

• 『セキュリティ』を選択
• 『Google にログインする方法』から、『2 段階認証プロセス』を選択

登録されていることを確認

3. 一般ユーザーの MFA を確認

Google アカウント へアクセスします。

• 『Google アカウントに移動』を選択
• 設定したメールアドレスとパスワードでログイン

• 『登録』を選択

• 『デバイスが一覧にない場合』を選択

• 画面に表示される手順に従い、スマートフォンにアカウントを登録
• 『再試行』を選択

• スマートフォンが画面に表示されたことを確認
• 『続行』を選択

• MFA が利用できない際のバックアップコードを印刷またはダウンロードして安全に保管
• 『次へ』を選択

• 『コードを保存しました』を選択

• 『有効にする』を選択

設定が完了したことを確認

以上