姓名をIDにするのをやめたい

はじめに

この記事は「corp-engr 情シスSlack（コーポレートエンジニア x 情シス）#3 Advent Calendar 2020」の12月18日の記事です。一年前にもどうしようもない感じで書きましたが、今年もちょうど一年ぶりにちょこっとだけ書きます。

adventar.org

お気持ち表明ポエム～姓名ってなんで個人同定につかわれるん？～

情シスであれば各システムのアカウント作成なんて日常業務。つよつよ情シスだとIdPから全部のシステムプロビジョニングされるのかもしれませんが、私が働いてる会社はまだまだかなりが手動です。

さて、そんなアカウント作成ですが、皆様は何のプロパティをアカウント名にしてますか？私の感覚だとだいたいほとんどのサービス・システムがメールアドレスなんじゃないかな思います。一部ADに準ずるものにはアカウント名≠メールアドレスではないものもありますが、その場合はアカウント名は社員番号でしょうか？

じゃあ、メールアドレスはどんな命名規則ですか？大体姓名を元にしたものかと思います。でも待ってください。姓名ってIDに適してますか？漢字情報を入れても同姓同名の人いますよね？読みだけのアルファベットなら尚更被りませんか？被ったら後ろに番号つけるから大丈夫？ふーん。

そんなわけで、大体の情シスは氏名を元にしたメールアドレスを一意のIDとして使えるよう、日々運用しているわけです。y-adgoreach.123@hoge.co.jpみたいな。

でもこの運用って情シスが管理しやすいだけで、ユーザーのこと何も考えてないよね。だって姓名って変わるじゃん。

そうです、姓名は変わります。決して一人一人で半永久的に不変のものではありません。でも大半のメールアドレスは変わること想定してない。

ここから取れる策は二つ。

1 人生において姓名を変える機会が減るようにする

2 姓名が変わっても対応可能なシステム設計をする

1は…まあ自分の生き方として思うことはいっぱいあります。でもよくよく考えたら姓名なんて自由に変更できるほうがよりCoolじゃないですか？だったら情シスとてやりたいのは2しかないですよね。

SaaSでログインに使うアカウント情報を変更してみた

Google Workspaces

管理者アカウントから変更可能

簡単ですね。メールアドレス、姓、名ともに変更可能。

Slack

Free環境では管理者アカウントでも変更できず…

会社のstandardプランでも確認。変更できそうだが、現在アクティブメンバーのメールアドレスは変更できない？（↑はわかりづらいがグレーアウトしてる）

解除済みメンバーのEメール欄は変更できそう。このあたりもう少し検証したいが時間が足りず断念。

Free環境でユーザのEメールを変えずに、Google Workspacesのメインのメールアドレスを変更、SlackにGoogle認証を使ってログインしようとすると、ログインできません。

当たり前っちゃ当たり前なんですが、IdPと連携するサービスの間でアカウントを特定させる情報としてメールアドレスを使ってるとCoolに変更可能というわけにはいきません。saml認証とかでも安易にUnique User Identifierをmail属性とかにしているとこういう事態になるはずです。たぶんオブジェクトIDのようなもっと一意の無味乾燥なIDをIdPから連携させるのがよさそうなんだと思います。

そんなわけで中途半端にしらべましたが、次があればその辺の設定を検証できればと持ってます。でもsaml認証をフリープランで試せるSaaSってないんだよなあ。

※※※

最後までお読みいただきありがとうございました。昨年書いてからもう一年だったのかと思うと時間の早さに驚きを禁じえません。

思えばこの一年、予定してなかったリモートワーク対応などに追われいろいろなことがやりっぱなしで終わってるなあと自省しています。一方でcovid-19という強力なCIOの元、まだ時間がかかるだろうと思っていた会社内の様々なレガシーシステムの見直しに手が入れられてそこは満足しています。願わくばだれでも働きやすい会社•社会がすぐそこまで来てることを。

いや、僕たちで作るんだ。