2024年度クラウドネイティブセキュリティおよび利用状況レポート
SCSK技術者によるブログ!
第5回担当の田邊です。近年リモートワークの普及によりSaaS(Software as a Service)の利用が進み、使用されている方も多いのではないでしょうか? SaaSログインの際は"パスワード認証"を使用する方法が一般的ですが、万が一SaaSログイン情報が流失してしまうとセキュリティインシデントに繋がる可能性があります。Sysdig SaaSではセキュアにログインするために複数のIdentity Provider (IdP)とSAML認証に対応しています。特に弊社ではSysdig とMicrosoft Entra ID(旧Azure Active Directory)のSAML認証設定について多くのお問い合わせをいただいております。
今回はSysdigとEntra ID間でSAML認証ができるまでの操作を紹介する記事となります。
Sysdig SaaS環境では、デフォルトのログイン方法はユーザー名とパスワード認証となります。
SAML認証を使うことでSysdigのユーザー名とパスワードを入力せずIdPにリダイレクトし、認証を行う事ができるので利便性が向上します。
また、SAML認証の際、IdPの多要素認証を通したシングルサインオンを実現できるため、セキュアなユーザーの一元管理が可能となります。
他にもSysdigでは、Single Logout (SLO)機能や"ユーザ名とパスワード認証でのログインを禁止する"オプションも提供しているため、要件に合った設定が可能です。
2024年6月6日時点でSysdigとSAML認証の動作確認が取れているIdPは下記となります。
それでは早速検証の準備から始めていきましょう。
今回の検証で事前に用意するものは以下の通りです。
3.で作成したアプリケーションから"シングルサインオン"をクリックし、"SAML"を選択します。
お使いのSysdigリージョンによって識別子(エンティティID)、応答URL、サインオンURLが変化しますので下記ドキュメントのRedirect URLでご確認ください。
https://docs.sysdig.com/en/docs/administration/saas-regions-and-ip-ranges#redirect-urls-for-authenticationいかがでしたでしょうか。ユーザー認証をIdP側で行うことで、Sysdigログイン時に使用するユーザー名とパスワードの漏洩リスクを抑え、IdP側で多要素認証を設定することによりセキュリティ向上が見込めます。
また今回ご紹介できませんでしたが、SAML認証を行った際IdPのグループとSysdigのTeamsをマッピングし、希望するRoleとTeamsに割り当てるGroup Mappingという運用に役立つ機能が実装されています。ご興味あれば本サイトのお問い合わせフォームからご相談ください。
本ブログでは次回以降もSysdigやコンテナ、Kubernetesを中心としたセキュリティやモニタリングについてとりあげていきたいと思います。
それでは、またの機会に!
※今回ご紹介した機能の詳細情報は下記URLに掲載されております。