サイトマップ英語ページお問い合わせ
マクニカネットワークス クラウドID連携、ユーザーID認証、シングルサインオン、Ping Identity、PingFederate
お問い合わせ
home

Ping Identity Ping Identity社

PingFederate ユーザ事例

横河電機株式会社様

海外拠点とのID連携に「PingFederate」を採用
各国拠点のID運用体系を尊重し、統合することなく
Webシステムを利用できるID Federationを実現

各国拠点と国内Domain Controllerの非統合による利便性の低下
ID管理業務の負担と各国拠点ユーザへの教育コストが増加
Webアプリの改修を最小限に抑えつつ将来的な拡張性の担保
日本管理のWebアプリに各国拠点AD認証でシングルサインオン
ID管理がシンプルになりサポート業務の負担が大幅に軽減
「Agentless Kit」による改修の容易化と短期導入の支援
情報システム1部 山下 氏、情報システム1部 高橋 氏、情報システム2部 鍋島 氏

複数DCへの異なるログインが海外拠点の業務を著しく阻害

横河電機は、生産プラントの生産制御システムや、圧力・温度・流量などを測定するフィールド機器、航空計器や船舶用の航法装置などの分野で世界的なシェアを持つグローバル企業だ。世界33ヵ国で海外71社、国内18社に従業員1万9000名以上を抱えるYOKOGAWAグループを率いて事業を展開しているが、長年にわたりIDのグローバル連携が大きなテーマとなっていた。
 
同社では、海外の拠点ごとにActive Directory(AD)の運用を行っており、Domain Controller(DC)を設置してアカウント情報を管理している。一方、日本には全拠点の認証情報を蓄積したマスターデータベース(DB)が存在し、Webアプリケーションを利用するための属性情報を格納。海外のDCと日本国内のDCとが信頼関係を結べず、統合ができないケースもあるため、海外現地法人のユーザが国内のシステムを利用する場合の認証専用DCを別途構築している。
 
海外拠点のユーザが、本社のWebアプリケーションを利用するには、その都度国内の管理者がマスターDBと認証専用DCにユーザを登録し、その上で各国拠点のユーザが各ローカルDCにログイン、さらに別のアカウント(ID/パスワード)で認証専用DCにログインしなければならず、業務効率を著しく阻害していた。
 
また、本社の管理者側も、登録された膨大なID/パスワードを日々メンテナンスし、定期的に棚卸する管理業務や、使い方を各国のユーザに周知徹底させる教育コストなどが大きな負担となっていた。「2000年頃からIDの統合を目標に、長年さまざまな製品の検討を行ってきましたが、統合するには現地の負担が大きく、また人材の流動性も高く、各地域での法規制なども存在するなど、全てのIDを日本側で管理することは困難でした」と語るのは、情報システム本部 情報システム1部の山下氏。アプリケーション側の担当として今回のDC連携プロジェクトを率いてきた。
「各国拠点のID運用体系を尊重しつつ、アクセスコントロールを効かせながら日本側のWebアプリケーションを効率良く利用できる認証システムの構築を目指しました」(山下氏)

ID統合ではなく連携させてドメイン間でのFederationを実現

同じくアプリケーション担当で、情報システム本部情報システム1部の高橋氏は次のように述べる。「IDはユーザを特定しロールを制御する重要な要素であり、統合することでID体系が変わってしまうとアプリケーションの大幅な改修や膨大な更新作業が発生します。そのため、現状のIDを維持しながら、アプリケーションごとにIDを発行する運用を見直すことで、ログイン時のIDを一本化する方法を検討しました」
 
そこで注目したのが、マクニカネットワークスが国内で提供するPing Identity社のID連携ソフトウェア「PingFederate」(ピン・フェデレート)だった。「IDを統合ではなく連携させることで、異なるドメインでも容易にSSOを実現し、アプリケーションの改修が最小限に抑えられる点を評価しました」と話す高橋氏。SAML(Security Assertion Markup Language)のみならずOpenID、OAuthなどの標準プロトコルにいち早く対応していることから、今後新たなWebアプリケーションを使う場合でも採用しやすいとも考えたという。
 
2012年8月にプロジェクトがスタートし、10月末に評価を開始。Webコードを一部改修した。PingFederateにはエージェントのインストールが不要な「Agentless kit」が付属し、どのプラットフォームからでも呼び出せるAPIをサポートしているため、改修コードはわずか数行を追加する程度で完了。短期構築を可能にした。それについて、山下氏は次のように振り返る。
 
「ID統合が簡単に実現できるといいながら実は難しい製品が多いため、最初にPingFederateに合わせて作った改修コードのサンプルを見た時には、あまりに簡単なものだったのですぐには信じられなかったのですが、マクニカネットワークスが実演するのを見て可能性を確信しました。」
 
12月には検証が終了し、2013年1月に正式に導入が決定。2月から構築を開始するとともに、トレーニングも開催。そして4月から東南アジアの現地法人をテストケースとして本番運用にむけてアプリケーションの改修をスタートさせている。

ID統合ではなく連携させてドメイン間でのFederationを実現

空気のような存在になることがプラットフォームのあるべき姿

PingFederateにより事前の登録はマスターDBのみとなり、各国拠点のユーザは権限があれば普段利用しているID/パスワードで自拠点のADにログインするだけでWebアプリケーションにシングルサインオン可能となった。さらに一度ログインすれば他のWebアプリケーションへも再ログインすることなくアクセスすることができる。
 
また、I D管理がシンプルになり、ユーザのパスワード忘れや入力ミスなどに対するサポート業務の負担の大幅な軽減を実現した。「これまでは、システムごとにID/パスワードや氏名、部署、メールアドレスなどの個人情報を管理していましたが、認証用DCで集中管理を可能にしたことで、個人情報の二重管理が不要になりました」と高橋氏は述べる。
 
また、インフラ系の担当で評価作業を主導した、情報システム本部 情報システム2部の鍋島氏も「従来はWebシステムが増える度に仲介するDCへの設定も複雑になっていましたが、WebシステムへのID連携を共通基盤化したことで、設定の簡素化と管理負担の軽減が実現し始めています」と話す。
 
そして、PingFederateによるID連携は社員にとって当たり前の仕組になりつつあるという山下氏は、「利便性が高まったことをあえてユーザに意識させず、空気のような存在になることがプラットフォームのあるべき姿だと思います」とその効果を語る。
 
PingFederateによるID連携は、現在アジア圏を中心に活用がスタートしているが、今後はアメリカやヨーロッパにも連携範囲を拡大し、国内1万名、海外5000名規模でID連携を行っていく予定だ。また、国内販売代理店へのサポートを強化するため、PingFederateを追加導入して代理店向けの複数システムのIDを連携させて、利便性を高める計画も進めている。
 
マクニカネットワークスの製品に精通した優秀な技術力でプロジェクトが驚くほどスムーズに進んだと評価する山下氏は、「グローバル企業の中には同じお悩みを抱えている企業も多いはず。IDの認証基盤をお探しなら、PingFederateを一度検討してみては」と可能性を示した。

User Profile

横河電機株式会社
所在地 東京都武蔵野市中町2-9-32
活動概要 制御事業、計測機器事業、サービス・その他の事業
URL http://www.yokogawa.co.jp/
1915年に創立し、電気計器の国産化の先駆けとして事業を開始。航空計器や自動調整装置の開発に取り組み、1964年に工業用分析計市場に本格進出。1975年には世界初の分散形制御システム、総合計装制御システムを発表するなど、制御分野のリーディングカンパニーとして発展。2010年に汎用測定器事業を子会社に統合する一方で、航空計器や船舶用の航法装置、気象水文機器のビジネスも展開している。

お問い合わせ

Ping Identity
製品担当
045-476-1980