高山 有道
大学共同利用機関法人自然科学研究機構|組合・団体・協会|その他情報システム関連職|300-1000人未満|導入決定者|契約タイプ 有償利用
学認IdPを手早く導入したい方におすすめのIDaaSです
SSO(シングルサインオン),ID管理システム,多要素認証(MFA)ツールで利用
良いポイント
IDaaSとして必要な機能に絞られているかなりシンプルな製品で、とても分かりやすいように感じています。管理操作も直感的にできるようになっています。
本製品には学認IdPの機能が備わっており、ユーザー情報の登録およびSPとの連携を設定すれば容易に学認IdPを立てることができる点が学術機関にはとても魅力的だと思います。
また、クラウドサービスなのでシステムメンテナンスを自前でする必要がなく、運用フェーズでの負担軽減効果が大きいこともメリットとして挙げられます。
ユーザー情報はCSVによる一括登録・変更、GUIでの個別設定のいずれでも可能なので、導入フェーズでの一括登録も運用フェーズでの細かな調整も容易です。
ユーザー自身によるセルフパスワードリセットを有効化できます。この機能を利用し、既存の組織メールアドレスをパスワード再発行用として管理者側で登録しておくことにより、初期パスワードを各ユーザーに配布することなく運用を開始することができました。
不明な点を照会した際のサポートデスクの対応も迅速で適切だと感じています。
また、機能等に関する要望を適宜取り入れてくれる体制があることもありがたいです。
改善してほしいポイント
本製品の問題というわけではありませんが、MFAやFIDO2のユーザーエクスペリエンスが各社の製品ごとにまちまちなのはあまりユーザーフレンドリーではないように感じます。(それもあってのSSOなのでしょうが)
スマートフォンがcrossplatformのFIDO2認証器として使えると便利になるように思うのですが、今のところ対応していないようです。
(SSOを導入すればよいのでは、という声はさておき)弊所では各種システムのユーザー名を「@ドメイン名」を含む形式で統一するようにしているのですが、本製品で学認IdP機能を使う場合ePPNが「exticのユーザー名@学認IdPのスコープ」となるため本製品のユーザー名として「@ドメイン名」を含まないものにすることで対処しています。そのため誤って「@ドメイン名」を含むユーザー名を入力するユーザーが散見されており、入力されたユーザー名のうち「@ドメイン名」もしくは特定の文字列を無視する機能があるとありがたいと感じています。(本件、開発チームに相談中です)
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
本製品導入前は、Shibboleth IdP+OpenLDAPによりオンプレミスで学認IdPを立てていましたが、ユーザー管理が面倒、多要素認証への対応が困難、脆弱性対応のための作業工数発生、といった課題があり、試験的な運用にとどまっていました。
本製品を導入することで、学認IdPの学内への全面展開を短期間(実質1か月以内)に実現できました。
また、システム基盤の運用をすべてお任せできるのは大変楽です。
いまのところ弊所では構想段階にとどまっておりますが、本製品には多種のクラウドサービスやオンプレミスのシステムと連携させる機能が備わっているので、今後ID管理の中枢として活用したいと考えています。
エクスジェン・ネットワークス
OFFICIAL VENDERエクスジェン・ネットワークス株式会社|マーケティング
ご評価いただき、ありがとうございます。 貴所の学認運用のお役に立てているとのことで光栄です。 単に学認IdPの代替ということでなく、Exticの管理操作面やインフラの運用面、サポート体制といった機能以外の部分についてもご評価をいただき、弊社としてもこれらはIDaaSを提供するうえで大切なポイントとしておりますので、大変うれしく思います。今後も変わらずご期待に沿えるよう、努めてまいります。 FIDO2のユーザー体験に関してはご指摘の通りかと思います。限りがあるかもしれませんが、プロダクト側で何か寄り添える部分があるのかどうかという視点を、弊社内で共有させていただきます。 今後の構想として挙げられているID管理範囲の拡張に関しましては、何かございましたご遠慮なく弊社までご相談ください。 今後とも引き続き、よろしくお願いいたします。