HENNGE One導入における実務的な情報を整理してみた

先日導入が完了したHENNGE Oneについて、こちらでもまとめたが
スケジュール感や実際の設定画面など、もう少し実務的な情報をこちらでまとめようと思う。

▼スケジュール感

まず導入〜運用のスケジュール感についてだが、今回はざっくり4~5ヶ月程度で進めた。
（社内手続き等によって変わるため、その点はあしからず。）

Oktaからの乗り換えだったため、序盤の1~2ヶ月はOkta→HENNGEの乗り換えが要件的に問題ないか、等を
HENNGE社と擦り合わせる時間が長かった印象だ。

もうHENNGEの利用は決まっていて、トライアルから始められる場合であれば
おそらく3~4ヶ月程度で導入は完了できるかもしれない。

では、実際に行った実務的な情報を以下にまとめようと思う。

▼事前準備フェーズ

HENNGEはHENNGE社から直接購入できないため、
サービス自体の提案や相談はHENNGE社にしつつ、見積りの取得/発注は代理店経由を進める必要がある。
ちなみにこのページの主要パートナーが該当の代理店である。

今回は私も3~4社に声をかけたのだが、最も安く見積書を出してくれたのはOA機器等の販売で有名な専門商社のO社だった。
（詳細な金額は書けないが、1ライセンス定価300円から約1割引きしてくれた。）

事前準備の一環として「対象アプリの整理」をしておくとよい。

今回の案件では、
1. Slack
2. Google
3. SmartHR
4. Salesforce
5. AKASHI
6. 勘定奉行クラウド
7. LegalOn Cloud
8. Keeper Security
の8サービスを運用開始時にSSOできるよう進めた。（他にも対象アプリはあったが、追々対応していくことにした。）

また、「ユーザーログイン時の認証方法」もこの段階で決めておく必要がある。

今回はOktaからの乗り換えだったこともあり、
ID/PW認証 (知識情報) + アプリ認証 (生体+所持情報) のセットで組んだが、
HENNGEはデバイス証明書を発行してデバイス認証も可能なので、ここは要件次第で組めばOKだと思う。
ちなみにアプリは↓のような画面でアカウント管理、通知受け取りができる。

▼移行開始フェーズ

まずはアプリ（HENNGE Oneでは”サービスプロバイダー”と呼ぶ）を追加する。

「サービスプロバイダー設定」という項目を選択すると↓のような画面が出てくる。

追加方法は3種類あるが、今回は基本SAMLの2つを用いて進めた。
メタデータをアップロードする方法は比較的簡単なため、手動設定の流れをここでは共有しようと思う。

手動設定を選択すると↓のような項目が出てくる。仮にSlack用として進めてみよう。

「サービス名」「ACS URL」「SP Issuer」を↓のように入力、「Name ID」を”Email”に変更する。
<slack-domain>についてはSlackの「オーガナイゼーション情報」で確認可能だ。
（ちなみに「Name ID」について、実際の値としては”UPN”でも同じなのだが、なぜか”UPN”ではうまく連携がしないため”Email”にする必要がある。）

「属性の設定」でUser.Email、first_name、last_nameと入力し、それぞれの値を選択したら保存する。

保存すると、メタデータが作られるのでこのままアプリ側の設定画面に移る。

今回はわかりやすくSlackのSSO設定を例に取って進めようと思う。
Slack側でSSO設定の画面を開き、↓のように入力する。

「AuthnContextClassRef(任意)」は”このバリューを送信しない”を選択し、
「SAMLレスポンスの署名」は”アサーションに署名する”のみを選択する。

ここまでやって「テスト設定」を選択すると、うまく設定できていればSSOできるようになる。

あと、これは補足だが「SmartHR」や「奉行クラウド」などはSP-initiated（サービスにアクセスしてSSOログインする必要があり、HENNGEポータル上からのSSOログインができない）という仕様があるため、SSO設定用とログインページ用として2つ設定を作ったりした。

次にポリシーを作成する。

まずは基本設定だ。ポリシー名、クッキー期限を設定する。
ポリシーの適用方法は各社それぞれだが、HENNGEでは1ユーザー1ポリシーのため、今回の案件では初期段階の運用として「全社員共通ポリシー」と「管理者用ポリシー」の2種類を用意した。

次に認証関連の設定をする。
ID/PWでのログイン+ アプリ（HENNGE Lock）認証を実施したい場合はこういった設定内容になる。

最後にポリシーに割り当てるアプリを設定する。
予め「サービスプロバイダー設定」でSSO連携できているものが選択できるため、必要なアプリを割り当てる。（仮にここで全て割り当てなくてもユーザーごとに割り当て可能である）

ここまでがポリシー設定だ。

最後にユーザー登録してポリシーを割り当てる

まずはプロフィールについてだ。あまり悩む部分はないと思うが、
「ユーザー名」についてはメールアドレスでも姓名のローマ時だけでも問題ない。（今回私はメールアドレスにした。）

次にパスワード設定について。
ここも基本は入力項目に合わせて入れていけばOKだが、1つ留意点がある。
HENNGE Oneはユーザー登録時に招待メールやPW通知のメールがユーザー側に飛ばない仕様だ。ゆえにユーザー登録後、ユーザー側はアカウントが作られたことも、ましてやサインインページのURLも感知しない。この辺の運用は予め考えておくほうがいいだろう。

今回は約150名を一気に追加したのでスプレッドシートで氏名、アドレス、PWを並べ、GASを組んで一気に通知した。

次に「ロール」と「OTPトークン」について。
まず「OTPトークン」は基本触らないでもいいと思う。「ロール」については予めHENNGE Oneにプリセットされているが、おおよそユーザー側は「ユーザー」で問題ないだろう。（「ロール」についてはHENNGEのサポートページに詳細が記載されてるので必要に応じて確認してもらえるといい）

最後に割り当てるポリシーとアプリを選択する。
ポリシーに割り当ててるアプリはデフォルトで付与されるため、もしデフォルトで付与されないアプリがあればここでチェックを入れて付与しよう。

以上でポリシーの設定については終了だ。

全体的な所感として、サービスプロバイダーの設定でアプリ側とSSO設定をするのが若干時間がかかったが
総じてスムーズに諸々の設定やユーザー登録は実施することができた。

ユーザー登録時の招待や通知がされない点だけ、どうしても運用を検討しなければならないが
その点以外は割とシンプルな構成だと思う。

現在は走り出しゆえに、まだGoogleプロビジョニングやデバイス証明書の発行等はできていないが
今後実装したら改めて情報をこちらにまとめようと思う。

———————————————————————-

情シス・IT導入の相談について

・SaaS導入
・MDM導入
・Slack / Microsoft / Google Workspace
・社内ITの立ち上げ

などの相談を受けています。
お気軽にお問い合わせください。