見出し画像

学習eポータルへの質問数第2位。Google/MSとの認証連携(シングルサインオン)のこと。

前回書いたMEXCBT/学習eポータルなんでもQ&Aがアクセスも多く、やはりこの辺りの関心が高まりつつあるようなので、関連して問合せが多く、かつ理解してもらうのが結構難しい、ちょっとマニアックな認証連携(シングルサインオン)をテーマに書いてみます。

ちなみに前回の前書きで岩合さんのこと書いたのですが、記事への反応は多かったのですが、ネコ関連の反応はゼロでした。悔しいので録画している世界ネコ歩きを見ながらこの記事を書いています。

学習eポータルに関する問合せベスト3

11/1にMEXCBT活用募集が始まり、学習eポータルとして名乗りをあげたまなびポケットのチームにも、かなりの量の問合せがきています。既にお申込みをしてくださっている方も結構いる(ありがとうございます!!)なかで、問合せされる内容のベスト3をあげるとすると以下になりそうです。

1. 無償提供の範囲を教えて欲しい
2. 今の運用からどう変化するかが知りたい
3. 今後、デジタル教科書とは連携するのか

1については、ちょうど一昨日(11/10)に日経BPさんが各社の無償提供の範囲を比較表付きで出してくれています。

基本は上記の通りです。
細かい部分ですが、11/1のプレゼンでもお伝えした通り、まなびポケットの場合は保護者とのコミュニケーションの機能も特徴で無償提供なので、そこが少し差分でしょうか。

[NTT Com]学習eポータルピッチ_final

3については、先日のなんでもQ&Aでも記載しましたが、学習eポータルとしての学習者用デジタル教科書についての立ち位置は、以下なのだと理解しています。

Q. デジタル教科書は各社動くようになるのか?
A. デジタル教科書と学習eポータルとの連携仕様は当然射程に入っており、これから策定されることになります。令和4年度事業では学習者用デジタル教科書との連携についての実証が予定されており、今後は各社対応していくことになると想定されています。また、それは学習eポータルごとに差異が出ることなく、どの学習eポータルでもどのデジタル教科書が連携するような仕組みになってくるはずです。

そして2の部分。ここは最終的には現行のIDやシングルサインオンの運用が継続できるのか、辺りに論点が集約されることが多く、かつそれがなかなか難解なので理解しにくい。
特にGoogle WorkspaceやMicrosoft Azure ADとのシングルサインオンの部分です。
4社の学習eポータルが提供している認証連携=シングルサインオンの仕組みは2つのパターン、運用まで考えると3つのパターンに分かれます。

細かい技術要素は抜きにして、どういう構造でどう運用に影響するか、をできるだけ簡単にまとめてみたいと思います。

最初にパターンまとめ

パターンとしては以下の3つです。

①Google/MSでログインし、学習eポータルにもシングルサインオン。管理者が利用者のシングルサイン設定を行う。
②Googleでログインし、学習eポータルにもシングルサインオン。利用者が自らシングルサインの設定を行う。
③学習eポータルにログインし、Google/MSサービスにもシングルサインオン。管理者が利用者のシングルサイン設定を行う。

書いて読みづらいと思ったの、表と図で補足します。

画像5

図が小さいので、もし大きく見たい場合はスライドで作ったものなので、こちらでご確認ください。

それぞれの方式について、内容の補足と運用上の留意点などを書いてみます。

①Google/MSでログインし、学習eポータルにもシングルサインオン。管理者が利用者のシングルサイン設定を行う。

画像3

①のパターンの挙動がどういうものか。動画で見てもらった方が早いかもなので、まなびポケットの例で画面キャプチャ動画をお見せします。

画面でも分かる通り、学習eポータルにログインするときに、GoogleやMicorosoftが提供する外部の認証基盤でのID・パスワード入力画面になります。この状態から、Google WorkspaceやMicrosoft Azure ADが認証基盤になっていることが分かります。
当然ですが、ChromebookやWindows&AzureADでの端末ログインしている場合は、再度ID・パスワードを求められることはありません(端末ログインのみで学習eポータルが利用できる)。
端末ログインをすれば学習eポータルもシングルサインオンになるのは、①~③それぞれ同じです。

シングルサインオンの設定は、システム管理者がGoogle WorkspaceやMicrosoft Azure ADと、学習eポータルの属性情報を紐づける設定を行うことで、シングルサインオンが実現します。

利点としては、既存の利用者環境を変更することなく利用できること、既にGoogleやMicorosoftのサービスとシングルサインオンしているアプリケーションがある場合は、そのままシングルサインオン環境が継続できることです。

②Googleでログインし、学習eポータルにもシングルサインオン。利用者が自らシングルサインの設定を行う。

画像4

ログイン時の挙動は、基本的にはGoogleの認証基盤を使うので①と同じになります。

シングルサインオンの設定は、各利用者が行うことになります。いわゆるソーシャルログインの仕組みと同様です。

初回のみ、確認メールが送られてきて、そのリンクを踏むことでアカウントが紐づく形になり、シングルサインオンができるようになります。

利点は、①と同様に既存の利用者環境を変更することなく利用できること、既にGoogleやMicorosoftのサービスとシングルサインオンしているアプリケーションがある場合は、そのままシングルサインオン環境が継続できること、です。
①との違いは、シングルサインオンの設定を各利用者が行うか、管理者が一括で行うか、です。利用者側の負担が増えると思う面もあるかもですが、一方で①だと管理者側が大変になる面もあり、どちらにもメリット・デメリットがある感じです。

③学習eポータルにログインし、Google/MSサービスにもシングルサインオン。管理者が利用者のシングルサイン設定を行う。

画像5

③のパターンは手元に環境がないので動画化はできずで、、すみません。

学習eポータルへログインすることで、Google WorkspaceやMicrosoft 365のサービスもシングルサインオンで利用できます。
端末ログインしている場合は、シングルサインオンの設定がされているのであれば、端末ログイン時に学習eポータルのログイン画面が出てくるはずです。
当然、再度ログインを求めらることなく、Google WorkspaceやMicrosoft 365のサービスもシングルサインオンで利用できます。

シングルサインオンの設定は、システム管理者が学習eポータルとGoogle WorkspaceやMicrosoft Azure ADを紐づける設定を行うことで、シングルサインオンが実現します。

利点としては、学習eポータルの認証・属性情報管理が手前にくるため、Google/MSの属性情報の更新が技術的にはやりやすくなり、一元管理がしやすくなります(①でも実現方法はありますが③の方がやりやすいはず)。

留意点は、既存でGoogle WorkspceやMicrosoft Azure ADを利用している場合、アカウントの移行が必要になることです。利用者にとってIDの変更は困難だと思いますので、同じID・パスワードによる認証を継続するために、Google WorkspceやMicrosoft Azure ADからデータを出力し、学習eポータル側で取り込む必要があります。恐らく、各社もそのための移行ツールをご用意しているのでは、と思っています。
それに伴い、端末ログインに関する認証基盤の変更も必要になります。こちらは管理コンソールやMDMなどを利用することで、利用者側の負担がない状態になるのでは、と。
また、既存でGoogle WorkspceやMicrosoft Azure ADとシングルサインオンしているアプリがある場合は、各所に確認をしたほうが無難だと思います。例えばGoogleは、学習eポータル(外部IdP)→Google Workspace→アプリ、という認証方式を設定自体は可能ですが、保証外としているためです。

おわりに...その他ご質問があれば以下で是非!

なかなか技術的な要素もあって理解し辛い内容ですが、、、自分に出来る限りで分かりやすく書いてみたつもりですが、いかがでしょうか?

まだまだこれでも分からんよ、という方や、その他ご質問などある方は、まなびポケットのことであれば、11/19に学習eポータル(まなびポケット)QA会をやっていますので、ご参加をいただけたらと!

ではまた!

この記事が気に入ったらサポートをしてみませんか?