脱・高額IDaaS!ZITADELで作る、
理想のIDライフサイクル管理(ILM)への挑戦【予告編】
「うちの話かも」と思った方、いるんじゃないでしょうか。
SaaSが増えるたびに、管理の穴も増える。Slack、Confluence、Jira、GitHub……アプリが増えるたびに、情シスの管理工数は静かに、でも確実に膨れ上がっていきます。
| 状況 | よくある痛み |
|---|---|
| 退職者対応 | 全SaaSのアカウントを手動で1個ずつ削除。消し忘れリスク大 |
| 外部パートナー | 「3月末まで」のはずが、半年後も権限が生きている |
| 入社初日 | 入社当日の朝、アカウント準備が間に合わず本人が手持ち無沙汰 |
| 休眠アカウント | 誰も使っていないアカウントが、静かにセキュリティホールになっている |
「ガバナンス機能」の壁:それ、上位プランですよね?
「自動プロビジョニング」「ライフサイクル管理」「SCIMによる連携」——言葉は知ってる。大手IDaaSがちゃんと対応している。でも、いざ使おうとすると必ずこのフレーズが来る。
「その機能は、Enterpriseプランのみのご提供です。」
……はい。来ましたね。大手サービスが悪いわけじゃない。でも、スタートアップや中規模の組織にとって、年間数百万〜数千万円のライセンスは、正直しんどい。
だから、作ることにしました
「ないなら、作る。」エンジニアリングの本質ってそこじゃないでしょうか。
次世代オープンソースIDaaS ZITADEL と、その拡張機能 Actions (V2) を組み合わせれば、高額なエンタープライズ製品に頼らなくても——自分たちの運用に最適化したIDライフサイクル管理が実現できるはず。この連載は、その「挑戦の記録」です。
なぜ ZITADEL なのか?
ZITADELは、スイス発のオープンソースIAMプラットフォームです。でも、単なる「認証基盤」として語るのは、あまりにもったいない。
ZITADELには Actions (V2) という仕組みがあります。ざっくり言うと、「ユーザーに何かが起きた瞬間に、独自のロジックを走らせられる」機能です。ログインした瞬間、削除された瞬間、権限が変わった瞬間——そのイベントをトリガーに、自分たちが書いたロジックを動かせる。
「じゃあSCIMは?」と思った方、鋭い。ZITADELでもSCIMプロトコルの標準実装は進められています。ただ、ZITADELの思想は「プロトコルを待つより、Actionsで自由に組む方が速くて柔軟」というもの。標準SCIMでは手が届かない、各SaaS独自の仕様や自分たちの運用ルールにぴったり合わせた管理機能を——だからこそ私たちはActions (V2) を選びました。
「仕様だからできない」ではなく、「Actionsがあるから何でもできる」。
この発想の転換が、今回の連載のコアにあります。
今回挑む「4つのスマート・ソリューション」
休眠アカウントの自動凍結
長期間ログインのないアカウントを自動で検出し、凍結する仕組みを作ります。
幽霊ユーザーを、許さない。期間限定の権限管理
ユーザーのMetadata(カスタム属性)に有効期限を埋め込み、期限が来たら自動でアクセスを止める仕組みを作ります。
「3月末まで」を、自動化する。入社前・試用期間の動的フィルタリング
ログイン時にトークン発行を拒否することで、「入社日まではログインさせない」「試用期間中は制限する」を認可プロトコルレベルで自動コントロールします。
入社当日の朝、慌てない運用へ。退職時の一括オフボーディング
ZITADELでユーザーを削除したら、周辺SaaSのアカウントも連動してクリーンアップされる仕組みを目指します。
ZITADELを消せば、全部消える。「それ、どうやって作ったの?」と聞かれる仕組みを目指して
ID管理って、地味だと思われがちです。でも、設計次第で、これほどエレガントに作れる領域でもある。
「退職者のアカウントが消えた瞬間、全SaaSが連動してクリーンになる」——このアーキテクチャを自分たちで作って動かしたとき、それは普通にかっこいいと思う。
標準機能で足りないなら、作る。しかもスマートに。
このポジティブな技術発信が、ZITADELコミュニティからも注目されるきっかけになれば、なおよし。
攻め(効率化)でもある。
4つのソリューションへの挑戦、うまくいくこともあれば、詰まることもあるかもしれません。その経過をありのままお伝えしていきます。インドネシア開発チームとの共同戦線の行方も含めて——乞うご期待!
