メタップスクラウドを設定、検証してみた - 業務ハックLab -とある情シスの備忘録-

皆さん、こんにちは
業務ハックLabのよーよんです。
今日はSaaS一元管理システムの「メタップスクラウド」について設定、検証をしてみたので自分の備忘録も兼ねてまとめていきたいと思います。

メタップスクラウドとは
設定、検証について

メタップス クラウドとは

今回検証したメタップスクラウドは株式会社メタップスさんが提供しているSaaS一元管理システムです。
機能の軸として「可視化」「管理効率化」「セキュリティ」の3つがあり、各機能の詳細としては

【可視化】

「コスト分析」「従業員の利用分析」「SaaS毎の利用分析」「未使用アカウント発見」

【管理効率化】

「SaaS管理」「アカウント管理」「組織管理」「ワークフロー」

【セキュリティ】

「SSO」「セキュリティルール発行」「IP制限」「端末制限」

といった機能があります。

設定、検証について

今回の設定、検証は「セキュリティポリシーの作成」「ユーザーの作成」「アプリの追加とSSOの設定」「セキュリティポリシー制限事項の動作確認」を行いました。
それでは早速行ってみましょう！

各画面構成

メタップスクラウドは一般ページと管理者ページで画面が分かれています。
管理者ページは管理者権限が付与されているユーザーのみ入れます。

一般ページ

実際にメタップスクラウドを使用してアプリなどにアクセスする為の画面です。

一般アカウント

ここにはメタップスクラウドにログインしたユーザーが使用できるアプリが表示されています。
アプリにアクセスする際はここからアクセスします。

f:id:yo-yon:20220204132200p:plain

共有アカウント

ここにはメタップスクラウドにログインしたユーザーが使用できる共有アカウントのアプリが表示されます。
共有アカウントでログインするアプリにはここからアクセスします。

f:id:yo-yon:20220204165542p:plain

管理者ページ

ここでメタップスクラウドの各設定を実施できます。

管理者トップ

管理者トップでは導入しているSaaSのコスト、アプリの数、ユーザー数がダッシュボードのような形で表示されます。

f:id:yo-yon:20220204132406p:plain

費用

各SaaS毎に費用を登録することができ、現在どの程度のコストが発生しているのか、可視化できます。

f:id:yo-yon:20220204132422p:plain

アプリ

ここではメタップスクラウドと連携をさせたいアプリの管理はここで行います。

f:id:yo-yon:20220204132445p:plain

ユーザー

メタップスクラウドを利用するユーザーの管理はここで行います。

f:id:yo-yon:20220204132711p:plain

組織

組織を設定することでユーザーを組織分けしたり組織に使用させるアプリを適用したりすることができます。

f:id:yo-yon:20220204132903p:plain

共有アカウント

複数ユーザーで共有するアカウントなどについてはここで管理を行います。

f:id:yo-yon:20220204132927p:plain

セキュリティ

ここではセキュリティポリシーを設定できます。

f:id:yo-yon:20220204132945p:plain

セキュリティポリシーの作成

管理者ページの「セキュリティ」から作成できます。

左側メニューからセキュリティをクリックします。
デフォルト・ポリシーがあります。
デフォルト・ポリシーはもともとメタップスクラウド側で用意されているものでポリシー適用されていないユーザーに対して自動的に適用されます。
今回は新規でポリシーを設定するので右上の「追加」ボタンをクリックします。
セキュリティポリシー作成という画面が表示されるのでポリシー名を入力し「登録する」ボタンをクリックします。
新たにポリシーが作成されたことを確認します。

これで新たなセキュリティポリシーを作成できましたので次はセキュリティポリシーの各設定を行います。
新たに作成したセキュリティポリシーをクリックすることで設定画面が表示されます。

アカウントロック

ここではログイン時に何回失敗したらアカウントロックするかを設定できます。

アカウントロックを選択し、右上の「編集」ボタンをクリックします。
ポリシー名を入力しログインチャレンジ回数を入力、「保存する」ボタンをクリックします。
回数が変更されたことを確認します。

セッション保持期間

ここでは一度ログインしたユーザーがどの程度の期間操作を行わなかったら自動ログアウトするかを設定します。

「セッション保持期間」を選択し、右上の「編集」ボタンをクリックします。
セッション保持期間(日)を入力、「保存する」ボタンをクリックします。
日数が変更されたことを確認します。

IPアドレス制限

接続可能なIPアドレスを登録することができます。
ここでIPアドレスを登録すると登録されているIPアドレス以外のアドレスからはメタップスクラウドにログインができなくなります。

「IPアドレス制限」を選択し、右上の「追加」ボタンをクリックします。
IPアドレス欄にグローバルIPアドレスを入力、メモ欄に登録するIPアドレスを特定できる情報を入力し「登録する」ボタンをクリックします。
IPアドレスが登録されたことを確認します。

端末・ブラウザ制御

ここではログインを許可する端末・ブラウザの数を設定できます。
同時ログイン数がここで設定した数以上になった時点でメタップスクラウドにログインができなくなります。

「端末・ブラウザ制御」を選択し、右上の「編集」ボタンをクリックします。
ログインを許可する端末・ブラウザの数を入力、「保存する」ボタンをクリックします。
件数が登録されたことを確認します。

パスワードポリシー

ここではメタップスクラウドにログインする際のパスワードに対してパスワードの長さ、記号の強制などを設定できます。

「パスワードポリシー」を選択し、右上の「編集」ボタンをクリックします。
最小パスワード長を入力、「記号を強制する」にチェックを入れ、「保存する」ボタンをクリックします。
設定されたことを確認します。

多要素認証の強制

ここでは多要素認証の強制をすることができます。
多要素認証の設定がされていないユーザーに関してはメタップスクラウドにログインできなくなります。(というかログインした時点で多要素認証設定を促されます。)

「多要素認証の強制」を選択し、右上の「編集」ボタンをクリックします。
有効を選択、「保存する」ボタンをクリックします。
設定されたことを確認します。

適用ユーザー

このセキュリティポリシーを適用するユーザーを設定できます。
先にユーザーを作成していて別のポリシーを割り当てしている場合はここで適用することで適用ポリシーを変更することが可能です。

「適用ユーザー」を選択し、右上の「追加」ボタンをクリックします。
ユーザーの一覧が表示されるので適用ユーザーを選択し、「確定」ボタンをクリックします。
ユーザーが追加されたことを確認します。

上記のようにセキュリティポリシーを設定することができます。
ポリシーに関しては自社のセキュリティ基準に則って設定しましょう。

ユーザーの作成

管理者ページの「ユーザー」から作成できます。

管理者側の処理

左側メニューからユーザーをクリックします。
右上の「追加」ボタンをクリックします。
追加するユーザーの情報を入力し、「登録」ボタンをクリックします。
所属組織を選択し、「登録」ボタンをクリックします。
追加されたことを確認します。

ユーザー側の処理

届いたメールの中にある「パスワードを設定する」リンクをクリックします。
パスワードの設定画面になるので任意のパスワードを入力し、「パスワード設定」ボタンをクリックします。
多要素認証の設定を行います。今回は「Google Authenticator」で登録をします。
「Google Authenticator」を選択し、「登録する」をクリックします。
画面上に表示されたQRコードをGoogle Authenticatorでスキャンし登録、アプリ上に表示されている認証コードを入力し、「登録」ボタンをクリックします。
これでログインが完了です。
このページをブックマークなどに入れておきましょう。

他にもユーザーの作成方法としてテンプレートをダウンロードしてCSVデータで一括登録する方法もあります。(今回は割愛)

ユーザーの削除

管理者ページの「ユーザー」から削除できますがアプリがステータスが有効化されていると削除できないので注意してください。

左側メニューからユーザーをクリックします。
削除したいユーザーをクリックします。
右上の「編集」ボタンをクリックします。
ステータスを「無効」に変更し「登録」ボタンをクリックします。
所属の編集は特に変更する必要はないので「更新」ボタンをクリックします。
先ほどステータスを無効にしたユーザーの一番右横にゴミ箱アイコンが表示されるのでそちらをクリックします。
ユーザーの削除という画面が表示されるので「削除」ボタンをクリックします。
削除されたことを確認します。

組織の作成

管理者ページの「組織」から作成できます。

左側メニューから「組織」をクリックします。
「新しい組織の追加をする」の「追加」ボタンをクリックします。
部署名を入力し、「登録」ボタンをクリックします。(この際、この部署に所属するメンバーに使用させるアプリもこの画面で指定できます。)
組織が追加されたことを確認します。
作成した組織に対して直下組織を設定したい場合は「直下組織数」の数字の部分をクリックします。
後は2～4の手順と同様です。
一番上の階層に行くと直下組織数が増えていることが確認できます。

共有アカウントの作成

管理者ページの「共有アカウント」から作成できます。

共有アカウントの作成手順

左側メニューから「共有アカウント」をクリックします。
右上の「追加」ボタンをクリックします。
メールアドレス、アカウント名を入力し、ステータスが有効になっていることを確認したら「登録」ボタンをクリックします。(姓、名、社員番号は任意で設定。)
共有アカウントが追加されたことを確認します。

連携アプリ設定手順

作成した共有アカウントに対して連携アプリを割り当てる場合は共有アカウント名をクリックします。
共有アカウントの詳細画面になるので「連携アプリ」を選択し、右上の「追加」ボタンをクリックします。
連携するアプリをクリックします。
「追加」ボタンをクリックします。
連携アプリが追加されたことを確認します。

利用ユーザー追加手順

作成した共有アカウントに対して利用ユーザーを追加する場合は共有アカウント名をクリックします。
共有アカウントの詳細画面になるので「利用ユーザー」を選択し、右上の「追加」ボタンをクリックします。
ユーザー一覧が表示されるので追加するユーザーを選択し、「追加」ボタンをクリックします。
ユーザーが追加されたことを確認します。

ログイン履歴の確認

作成した共有アカウントを使用してログインしたユーザーのログイン履歴を確認する場合は共有アカウント名をクリックします。
共有アカウントの詳細画面になるので「ログイン履歴」をクリックするとログイン履歴が確認できます。

アプリの追加とSSOの設定

管理者ページの「アプリ」から追加及び設定ができます。

アプリの追加

左側メニューからアプリをクリックします。
右上の「追加」ボタンをクリックします。
アプリ選択画面が表示されるので追加したいアプリを検索欄に入力します。
今回はGoogle Workspaceを追加します。
Google Workspaceをクリックするとアプリ追加という画面になるのでアプリ名の変更がない場合はそのまま「確定する」ボタンをクリックします。
アプリが追加されたことを確認し、クリックします。
基本設定画面になるのでステータスを「有効」にして「登録する」ボタンをクリックします。
登録がされるとこのようなメッセージが表示されます。
次にSSO利用ユーザーを指定します。「利用ユーザー」を選択し、右上の「追加」ボタンをクリックします。
ユーザーの一覧が表示されるので追加したいユーザーを選択し、「確定」ボタンをクリックします。
ユーザーが追加されたことを確認します。
次に契約情報を登録します。「契約情報」を選択し契約プラン、契約更新日、支払通貨を選択、「登録する」ボタンをクリックします。

ここまででアプリの追加と基本設定は完了です。

SSOの設定

次にSSOの設定をします。
SSOはSAML認証とフォームベース認証の2種類方法があり、アプリによって使用できる認証方法が異なります。
今回はGoogle Workspaceを例に設定をしていきます。
ちなみにGoogle WorkspaceはSAML認証になります。

「SSO」を選択し、SSO連携方法を選択、「設定へ進む」ボタンをクリックします。
SAML連携情報が表示されるので証明書をダウンロードします。
次にGoogle Workspaceの管理コンソールを開きます。
左側メニューから「セキュリティ」を選択し、「認証」をクリックします。
「サードパーティーのIdPによるSSO」をクリックします。
「組織向けサードパーティーのSSOプロファイル」をクリックします。
「サードパーティのIDプロバイダでSSOを設定する」にチェックをいれ、「ログインページのURL」に3で表示された「SSO URL」を「ログアウトページのURL」に「SLO URL」を貼り付けます。
「証明書の更新」をクリックし、先ほどダウンロードした証明書を選択、「ドメイン固有の発行元を使用」にチェックを入れます。
「保存」をクリックします。
メタップスクラウド管理画面に戻り基本情報の各欄を入力し、「設定する」ボタンをクリックします。

SSOができるか確認

では実際にSSOが設定できているか確認を行います。

アプリを適用したユーザーでメタップスクラウドにログインし、Google Workspaceをクリックします。
下図のようなダッシュボード画面になればSSOができています。

これでアプリの追加からSSO設定まで完了です。
SSOの設定についてはアプリごとで異なるので都度調べながら設定しましょう。

費用の登録

アプリの登録が終わったらそのアプリに月々いくらかかっているのか費用の登録をしましょう。
ちなみに費用登録方法ですが手動で入力する方法と自動取得する方法の2種類があります。
後者の自動取得については対応しているアプリが限られています。
今回は手動で登録、自動取得するための設定をしていきます。

手動登録

手動登録する場合、「費用」画面でアプリごとに登録ができます。

月々決まった金額を登録する場合

費用画面でアプリの一番右にある鉛筆アイコンをクリックします。
一括入力欄に税込みの金額を入力し、「反映」ボタンをクリックします。
すべての月に同一の金額が反映されます。
画面をスクロールし「確定」ボタンをクリックします。
このような感じでグラフ化されます。

年額払いなどの場合

費用画面でアプリの一番右にある鉛筆アイコンをクリックします。
支払った月に金額を入力し、「確定」ボタンをクリックします。
グラフに金額が反映されます。利用ベースで按分する場合はもう一度編集画面を開きます。
「費用按分」ボタンをクリックします。
按分する期間を選択し「実行」をクリックします。
支払いベースで確認すると先ほどと表記は変わりませんが利用ベースで確認すると指定した期間で按分がされた状態になっています。

自動取得のための設定

アプリ画面で街頭のアプリをクリックします。
コスト取得を選択し各種項目を入力、最後に「連携」ボタンをクリックします。
この際、ログインIDとログインパスワードはコストを確認できるアカウントのものを登録してください。
設定が完了するとこのような感じで「取得中」という表示が出ます。

個人的な意見ですが欲を言えばアプリごとのライセンス単価を登録して使用数に掛け算すると自動的に算出されるといった機能があると嬉しいかも。

セキュリティポリシー制限事項の動作確認

実際にセキュリティポリシーで制限した項目について動作検証をしてみました。

アカウントロック

実際に制限回数以上にログインを失敗させて検証をしてみました。
制限回数を超えてログイン失敗をさせても上に表示されるメッセージは変わりませんでした。

f:id:yo-yon:20220204153704p:plain 正しいIDとパスワードでログインしようとしたところ下図のような画面が表示されてロックされていることが確認できました。

f:id:yo-yon:20220204153812p:plain ただ正しいIDとパスワードを入力して初めて下図のようなアラートが表示される形だったので個人的な感想としては制限回数を超えた時点で同じアラートを出してもらう形のほうがいいような気がします。
あとは「残り何回間違ったらロックされます」といったメッセージが出るといいなぁ。

アカウントロックされた時の解除手順

ユーザーはアカウント凍結された時点で管理者に連絡します。
管理者は管理者ページの「ユーザー」でロックされているユーザーを探しクリックします。(ロックされているユーザーには鍵マークが表示されています。)
ステータスの「ロック解除」をクリックします。
「アカウントのロックを解除しますか？」と表示されるので「OK」ボタンをクリックします。
「ロック解除完了」というメッセージが表示され、仮パスワードが表示されるのそのパスワードをユーザーに連絡します。
ユーザーはログイン画面でIDと管理者から伝えられた仮パスワードを入力します。
ユーザーは仮パスワードでログイン後、右上のアイコンをクリックし、「プロフィール」をクリックします。
プロフィール画面が表示されるので「セキュリティ」をクリックします。
パスワードの「リセット」をクリックします。
現在のパスワードに管理者から伝えられた仮パスワードを入力、さらに新しいパスワード、新しいパスワード確認を入力し、「パスワード変更」ボタンをクリックします。

管理者側でアカウントロックを解除した時点でユーザー側のパスワードが管理者画面上で表示された仮パスワードになっているのでユーザー側は必ず7～10の手順でパスワードをリセットしましょう。

セッション保持期間

前段でのセキュリティポリシーでは10日にしていましたがそんなに待っていられないので1日に変更しました。
1日おいて確認すると下図のようにちゃんとセッションが切れていました。

f:id:yo-yon:20220204145600p:plain

IPアドレス制限

セキュリティポリシーで接続できるIPアドレスを設定しましたがそれ以外のグローバルIPからアクセスした場合は下記のようにアラートが表示され、ログインもできませんでした。
きっちり設定が反映され動作していました！

f:id:yo-yon:20220204144640p:plain

端末・ブラウザ数制限

今回セキュリティポリシーで3を超えた場合制限する設定にしていました。
端末を3台以上用意するのはしんどかったのでブラウザで検証してみます。
3つのブラウザまではログインできましたが4つ目はしっかり制限され、ログインができませんでした。
ちなみにこの場合、利用端末・ブラウザ申請画面になり、管理者へ利用申請ができます。

f:id:yo-yon:20220204144841p:plain

申請が受け付けられると下図のような表示になります。

f:id:yo-yon:20220204144931p:plain

管理者側にはこんな感じでメールが届きます。
このメールの中に記載のある「申請内容を確認する」がリンクになっており、こちらをクリックするとメタップスクラウドの管理画面が開きます。

f:id:yo-yon:20220204145119p:plain

ユーザーの利用端末・ブラウザの一覧表示画面になり、申請日、申請理由の確認や承認可否の選択ができるようになっています。
申請理由はアイコン部分にマウスオーバーすると内容が表示されます。

f:id:yo-yon:20220204145311p:plain

「承認する」ボタンをクリックすると「OK」「キャンセル」が選択でき、「OK」ボタンをクリックすると承認ができます。

f:id:yo-yon:20220204145348p:plain

「承認しない」ボタンをクリックすると否認理由を入力ができます。
任意ですがなんで否認したかユーザーに分かるようにしておくと親切ですね。
最後に「OK」ボタンをクリックすると否認ができます。

f:id:yo-yon:20220204170544p:plain

パスワードポリシー

今回パスワードポリシーを12桁以上、記号を強制にしました。
条件を満たしていないパスワードを設定しようとすると下図のような画面になり、設定ができませんでした。
こちらも意図したとおりの動作になっていてGoodです。

f:id:yo-yon:20220204144617p:plain

多要素認証の強制

メタップスクラウドにログインする時の多要素認証の強制を設定するとユーザー側でパスワード設定を行った後にEmail認証とGoogle Authenticator認証のどちらで認証を行うのか聞かれるようになります。
上のメッセージにも「管理者により多要素認証の設定が強制されました。」と記載されていますね。

f:id:yo-yon:20220204144720p:plain

操作してみての感想

設定自体とても簡単でがちがちにセキュリティを固めるのでなければ非常に使いやすいシステムなのではないかと思います。
現時点でプロビジョニング・デプロビジョニングの機能は今のところ無いようですが今後開発予定とプレスリリースにも記載があったのでこの辺は期待値が高いですね。
要件的に「SSOをしたい」「SaaSの利用状況を確認したい」「IPアドレス制限や端末制限をがちがちではないものの設定をしたい」といった企業にはおすすめかと思います。
正式リリースされたのが2021年3月30日とまだ新しいシステムなのでこれからの機能追加にも期待です。

今回はメタップスクラウドについて設定、検証をしてみました。
少しでも皆さんの参考になれば幸いです。
それでは皆さん良い業務ハックライフを～

リンク