質問

2019年03月07日 15時05分
  • アカウント管理台帳について

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

皆様の会社ではアカウント管理台帳のようなものは作成されていますか?

当社では各システムごとにExcelのアカウント管理台帳があるのですが、同じ社員の似たような情報をあっちこっちに記載するのは大変不毛な作業です。
そこで情報を統合してしまいたいと思っているのですが、何かいい方法がないかなぁと。

今のところ単純にExcelで1つのファイルにまとめてしまうか、Accessを使用して管理するか、といった感じで検討しています。

よければ皆さんの管理方法を参考にさせてください。
宜しくお願いします。

3件の回答があります

回答

ユーザ数にもよりますが、ウチの場合は300名以下なので Excelで十分です。

メールアドレス、アカウント、グループ、業務アプリのID、TV会議のID など

がExcelの別々のファイルで管理されていますが 表示名(漢字での名前)をキーにして、連結が可能になってます。

社員コードも項目に含めてあるので、人事データとも結合が可能です。

一つにしないのは、項目によっては複数の同一キーがあるから と、大きな表にしたくないということもあります。 (グループの表なんて最大300列ありますから)

ウチの場合は 変更はかならず申請書がある のでそれぞれのExcelを申請によって更新するだけです。

(ただしグループの表はシステムに登録したあと、そのデータからExcelを作成し公開しますので。これがマスターデータというわけではないです。)

2019年03月10日 07時00分

返信

desatoさん、返信ありがとうございます。
やはり規模がそこまで大きくなければ、Excel管理が柔軟に誰でも使えてちょうどよい、といった感じでしょうか。

個別管理でも必要に応じてファイルを連結させられるのは便利そうですね、参考になります。

2019年03月11日 15時12分

回答

うちは20名程度ですが、sharepointonlineのリストを使っています。
エクセルにしなかったのは、
- 脱エクセル化の流れに乗ってみたかった
- SharepointOnlineの機能を使ってみたかった
というところでしょうか。

エクセルとは違い、以下のメリットを感じています
- 過去の不具合のメモを長く書いても表示が見にくくなることがない
- 比較したい内容によって表示を変えられる(Office製品順の表示なのか、Nortonの期限順なのかなど)

2019年03月11日 16時24分

返信

Kumaさん、返信ありがとうございます。

ちょうど検証していたのでSharepointOnline使ってみましたが、このリスト機能は便利ですね!
はい/いいえの項目とかも作れるので、手軽にリスト化できそうです。
ちょっと触っただけですが、本格導入が決まったら選択肢としてアリだと思いました!

2019年03月13日 12時04分

回答

ちょっと外れた回答になります。すみません。

ちなみにシングルサインオン(SSO)は視野に入ってますでしょうか?

Active Directory構成ではなくWorkgroup構成であれば別ですが、
今どきのシステムならLDAP認証くらい対応しているでしょうから、SSO導入を考えるのが筋です。

もしActive Directory構成でないのであれば、これを機に導入してみては?

返信

Sushi太郎さん、返信ありがとうございます、

SSOも将来的には検討したいと思っています。
ただ未だに古いオンプレの製品が残っており、当社で導入するにはまだハードルが高い感じです。。。

また今回はアカウントの作成・削除漏れがきっかけで管理方法を改めたいという意図がありまして(先に書いておけばよかったです、すみません)SSOだけだと原因の解決には至らないかなぁという印象です。

ADでユーザー作成したら連携して使用するアカウントを全て発行し、SSOでログインできるようになる、という運用ができたらすごく助かるんですけどねー!

2019年03月13日 12時08分

返信

>> easyrider
また今回はアカウントの作成・削除漏れがきっかけで管理方法を改めたいという意図がありまして(先に書いておけばよかったです、すみません)SSOだけだと原因の解決には至らないかなぁという印象です。

SSOだけだとおっしゃる通りです。

ADでユーザー作成したら連携して使用するアカウントを全て発行し、SSOでログインできるようになる、という運用ができたらすごく助かるんですけどねー!

それがLDAP認証です。

ただ未だに古いオンプレの製品が残っており、当社で導入するにはまだハードルが高い感じです。。。

オンプレかどうかはあんまり関係ないと思いますが、、、
完全スタンドアロンでネットワーク接続もできない、という意味でしたら納得です。
データベース使っているのであれば、データ連携できるので関係ないです。
まずは一度、システムの業者にLDAP認証できないか聞いてみてはいかがでしょうか?

当社では各システムごとにExcelのアカウント管理台帳があるのですが、同じ社員の似たような情報をあっちこっちに記載するのは大変不毛な作業です。
そこで情報を統合してしまいたいと思っているのですが、何かいい方法がないかなぁと。

もし、LDAP認証がハードル高くて無理で《また今回はアカウントの作成・削除漏れがきっかけで管理方法を改めたいという意図がありまして》ということであれば、
台帳ではなくて、入退社の運用整理(作成するアカウントのチェック表作る 等)が正解と思います。

※長文になりましたが、easyriderさんの返信がちょっと私には、やや不躾に感じました。
《SSOだけだと原因の解決には至らないかなぁという印象です。》
↑の部分です、LDAP認証+SSOについて、技術的な考察をされた上でのコメントでしょうか?
それであれば、なぜ、アカウント管理問題においてLDAP認証+SSOが解決に至らないのか技術的な説明をいただきたいです。
運用・社内問題的であればこちらでは知る由もないので、その言われ方には納得できません。

なので、ちょっときつめに回答いたしましと、発生した課題に対して、もっと広くITを活用して問題を解決できないかをまずは考えてはいかがでしょうか?
台帳の整備は課題に対して些末な問題であると考えられますので、もっと広く深く考察されるところからお勧めします。

返信

>> Sushi太郎

私の書き方で不愉快な思いをされたのであればお詫びします。

LDAP認証やSSOについて誤った認識をしてるのかもしれません。

もしよろしければ教えてください。

ADでユーザー作成したら連携して使用するアカウントを全て発行し、SSOでログインできるようになる、という運用ができたらすごく助かるんですけどねー!

それがLDAP認証です。

SSOは各システムのアカウントを連携させ認証をパスさせるためのものであり、それぞれのアカウントは個別に作成することが前提だと思っております。
こちらの認識はあっていますか?
もしADでユーザー作成や削除をした際に、連携して他システムのアカウント作成削除まで行ってくれるのであれば私の認識が誤っております、すみません。

オンプレかどうかはあんまり関係ないと思いますが、、、
完全スタンドアロンでネットワーク接続もできない、という意味でしたら納得です。
データベース使っているのであれば、データ連携できるので関係ないです。
まずは一度、システムの業者にLDAP認証できないか聞いてみてはいかがでしょうか?

オンプレという書き方が誤っておりました。
以前SSO製品の紹介を受けた際にWEBブラウザで稼働するシステムでなければSSOできない仕様だと説明を受けました。
そのためSSOの製品というのは一般的にそういうものかと思っておりました。
当社では今もインストール型のソフトウェア(古いEPRソフトとか)が稼働しているので、SSO製品を導入しても対応していないだろうと思い、まだハードルが高いと感じた次第です。

もし、LDAP認証がハードル高くて無理で《また今回はアカウントの作成・削除漏れがきっかけで管理方法を改めたいという意図がありまして》ということであれば、
台帳ではなくて、入退社の運用整理(作成するアカウントのチェック表作る 等)が正解と思います。

こちらはおっしゃる通りです。
入退社のチェック表を作成してはいるのですが、チェック表自体が形骸化している状況でした。
そのためチェック表だけでなく、アカウント管理の台帳をひとまとめにすれば抜け漏れ防止に少しくらいは役立つかなと思い、また最初に書いた通りそもそも複数の台帳で重複した情報を管理するのも無駄かと思いここに相談しました。
※運用自体については別途検討しています。

繰り返しになりますが、私の書き方で不愉快な思いをされたのであればお詫びします。
アカウント管理方法うんぬんの一文は余計な情報でした。

ただ今回の主題はあくまでアカウント管理台帳を皆さまがどのように作成しているのか(あるかないかも含めて)知りたいという話ですので、できればこの辺りもお聞かせいただけるとありがたいです。

2019年03月13日 15時04分

返信

>> easyrider

ただ今回の主題はあくまでアカウント管理台帳を皆さまがどのように作成しているのか(あるかないかも含めて)知りたいという話ですので、できればこの辺りもお聞かせいただけるとありがたいです。

LDAPがアカウント管理台帳の機能をもった仕組みです。
私の回答が主様の主題にのっとっていない、というのはExcelやAccessのアカウント管理台帳に限定して質問ということでしょうか?
それでしたら、大変失礼しました。

ちなみにLDAPが管理台帳ではない、というのはどういった見識でしょうか?
帳簿を紙で管理している人が、「パソコンで管理してるならそれは帳簿ではない」と言っているような違和感を覚えます。

私は主様の友達ではありませんのでいきなり《こちらはおっしゃる通りです。》など、別の話は私が間違っているかのような言葉遣いは大変不愉快です。
もし間違っているのならば、ご説明ください。

主様の経歴は存じ上げませんが、技術的思考や言葉遣い問題深堀や解決能力に不足があるように感じます。

返信

本題とは違うので 軽い反応だけでいいのですが...

SSO導入を考えるのが筋です

某社を監査したときに、そこはSSOを導入していたのですが、情シス員のアカウントは特権を持っていて”なんでもできてしまう”ので「それはダメ、特権は別アカウントにしなさい」と判定したのです。

ウチはSSOを採用していなくて情シス員は”普通の社員と同じ権限”、”システム員としての権限(設定ができる)”、”特権(アカウントの削除とかも出来る最強)”の3つを持っていて使い分けしています。SSOでは使い分けができない(というかPCのアカウントから変えないといけない)

と思ってますがどうなんでしょうか。

2019年03月13日 20時07分

返信

>> Sushi太郎
勝手に激情されても困ります。
私の質問にも答えていただけていませんし、人格否定のような言い方までされては私も大変不愉快です。
不毛ですのでこれ以上のコメントは差し控えます。

2019年03月14日 09時17分

返信

>> desato
うちでも情シス担当者は一般アカウントと特権アカウント分けて使ってます。

特権アカウントを使って作業するときは専用の踏み台サーバにリモートログインしてます。
その方が若干ですがセキュリティもあがりますので。

SSO導入と一言で言っても、何をどのように運用するかはしっかり考える必要がありますね^^;

返信

>> easyrider
不愉快にさせて大変申し訳ございません。

最後に、
質問には答えてますよ。

今どきのシステムならLDAP認証くらい対応しているでしょうから、SSO導入を考えるのが筋です。

と、LDAPが前提として答えてます。
繰り返しになりますがLDAPも誤解を恐れずに言えばアカウント管理台帳です。

ExcelやAccessよりもはるかに利便性が高いです。
使い方も、ネットを調べればいくらでもありますし、
それこそsyszoにスレッド作れば回答が集まると思います。

※追記※
誤解を恐れなさ過ぎたのでLDAPについて補足しますが、
LDAP自体はプロトコルですのであくまで仕組みです。
https://www.tanchallenge-glory40.com/ldap1/

あなたもコメントしましょう!