Contents
導入前チェック(1Password Businessの前提と準備)
導入前に体制と技術的前提を固めることが失敗を防ぎます。ここでは対象読者、必要権限、推定工数と具体的なチェック項目を示します。
対象読者と想定前提
想定する担当者と最低限の権限を明確にします。
- 主な対象:IT管理者、セキュリティチーム、SaaS運用担当者
- 必要権限:1PasswordのAccount Owner/管理者権限、IdP(SAML/SCIM)管理権限、DNS編集権限(ドメイン検証)
- 前提知識:SAML/OIDCの基本、SCIM概念、CI/CDやMDMの運用経験
- 推定工数(目安):小規模(〜50ユーザー)数日〜1週、中規模(50〜500)2〜4週、大規模(500+)1〜3か月。要件次第で変動します。
導入前チェックリスト
導入前に最低限確認する項目を列挙します。実行順や担当者を事前に決めてください。
- ライセンス/プラン選定(機能要件に応じてTeams/Business/Enterpriseを比較)
- 無料トライアルの範囲確認(期間や機能は変わるため公式ページを参照)
- ドメイン検証の手段(DNS/TXT または メール)と担当者確保
- IdPの互換性確認(SAML/OIDC/SCIM対応状況と属性伝達方法)
- ネットワーク要件(管理コンソール、Connect、エージェントの送信先ホスト許可)
- ステークホルダー定義(オーナー、管理者、アプリ担当、法務)
- 移行方針(段階的、全量移行、クレンジング)とテスト計画
ドメイン検証とステージングの注意点
ドメイン検証とステージングで失敗を防ぐポイントを整理します。
- ドメイン検証はIdP連携前に完了させることを推奨します。DNS権限者の協力を事前調整してください。
- DNS検証はベンダー指定のTXTレコードを設定します。トークン名はベンダー指定のものを使用してください(例は公式ドキュメント参照)。
- ステージング環境を用意し、SSO/SCIM/Secrets Automation の各機能をパイロットグループで検証します。
- ステージング検証項目例:サインインテスト、グループ同期、ユーザー無効化の反映、証明書更新シナリオ。
1Password Businessの基本概念と設計方針
Vaultやグループ、ロール設計は運用コストに直結します。設計方針を早期に決め、命名規則と責任者を固めてください。
Vaultの種類と設計
Vaultの分類と役割を決めます。分離と最小権限を基本としてください。
- 個人Vault:ユーザー個別。管理者は中身を直接閲覧できない原則を確認してください。
- 共有Vault:チーム共有用。部署・プロジェクト・用途で分割する。
- サービスVault(マシン/サービス用):CIやサービスアカウント専用。人間のVaultと分離する。
命名規則例:{部門}-{プロジェクト}-{用途}-{環境}
サンプル割当表:
| Vault名 | 用途 | 推奨アクセス |
|---|---|---|
| ENG-Platform-Prod | 本番インフラ資格情報 | Infra-Admins: 管理 |
| ENG-Platform-Staging | ステージング資格情報 | ENG-Platform: 編集 |
| HR-Recruiting-Shared | 採用関連共有資料 | HR: 閲覧/編集 |
| Services-AWS-Creds | サービスアカウント用 | Infra-ServiceAccounts: 管理 |
グループとロール設計
グループでアクセスを割当て、ロールで管理操作を分離します。
- IdPのグループと同期すると運用が簡素化します。
- ロールは最小権限で付与し、オーナーは最少人数に限定します。
- カスタムロールは明確なUse Caseで作成します(例:ユーザー招待のみ、Vault管理のみ)。
ロール例:
| ロール | 主な権限 | 運用例 |
|---|---|---|
| Owner | 組織設定・請求・緊急回復 | 請求窓口・緊急対応 |
| Administrator | ユーザー管理・Vault管理 | 日常オンボーディング |
| Vault管理者 | Vault作成・権限変更 | 部門Vault運用 |
| Auditor | ログ閲覧のみ | コンプライアンス監査 |
退職・権限変更の運用フロー
退職や権限変化時の手順を標準化します。
- IdPでのアカウント無効化(SCIMがあれば自動化)。
- サービスアカウントの資格情報ローテーション。
- 該当ユーザーのVaultアクセス削除と所有Vaultの引継ぎ。
- 監査ログで影響範囲を確認し、必要に応じてエビデンス保存。
管理コンソール初期設定とセキュリティポリシー(1Password Business)
管理コンソールでの初期設定は運用基盤を作る工程です。誤設定はセキュリティリスクにつながるため、手順に沿って慎重に行ってください。
管理コンソール初期設定の実務手順
初期設定の推奨順序と最小限の操作を示します。各項目はステージングで検証してください。
- 組織作成とAccount Ownerの指定。オーナーは極少数にする。
- ドメイン検証を実施(DNSまたはメール方式)。
- 請求情報・連絡先の登録。
- 管理者アカウントの作成と役割分担。
- テストVaultとテストユーザーを作成し、SSO/SCIMの接続検証を行う。
- 監査ログ・通知の初期設定を有効にする。
管理コンソールのメニューは製品バージョンで変わるため、UIのパスは管理画面で確認してください。
MFA・パスワードポリシーの推奨初期値
初期設定案と理由を示します。組織リスクに応じて調整してください。
- 全社でのMFA強制を推奨。WebAuthn(FIDO2)を第一候補とする。
- TOTPは段階導入で許容。SMSは推奨しない。
- パスワード生成ポリシー:長さ16文字以上を初期目安。
- セッションタイムアウト:30分を目安。環境により15〜60分を検討。
- クリップボード自動消去:30〜60秒を推奨。
監査ログと通知の初期設定
監査ログは運用・法令対応の基礎です。取得対象と保持方針を決めてください。
- 取得推奨イベント:サインイン成功/失敗、MFA変更、管理者操作、SCIM操作、Vault共有変更、Secrets取得イベント。
- ログ保持期間は法規制・社内規程で決定(例:90〜365日)。
- SIEM連携はAPIやエクスポート機能で行う。外部に転送する場合は暗号化とアクセス制御を確認する。
SSO(SAML/OIDC)とSCIM自動プロビジョニングの実務設定
SSOとSCIMは運用効率化に直結しますが、設定ミスが生じるとログイン不能や権限漏れに繋がります。段階的に検証してください。
SAML/OIDC設定の実務手順と属性マッピング
SSO設定の基本手順と代表的な属性マッピング例を示します。
- 事前準備:ドメイン検証完了、テスト用IdPアプリとユーザー作成。
- IdP側:アプリ作成、メタデータ取得(SAML)または Client ID/Secret(OIDC)、リダイレクトURI登録。
- 1Password側:管理コンソールへメタデータ/Issuer/Client情報を登録し、属性マッピングを設定。
- テスト:パイロットユーザーでログイン検証、グループ割当の反映確認。
代表的な属性マッピング例:
| IdP側属性 | 1Password側の用途 |
|---|---|
| email / user.mail | ユーザー識別(ログインID) |
| NameID | ログイン識別子(メール等) |
| givenName / firstName | 名前(表示名) |
| familyName / lastName | 姓 |
| groups / group claim | グループ→Vault権限の基に使用 |
OIDCの注意点:scopeに openid email profile を含める。groups クレームを送る場合はIdPの設定で有効化する必要があります。
証明書/トークンのローテーション手順(SAML/SCIM)
証明書やSCIMトークンは定期的にローテーションしてください。安全な手順を定義します。
- ローテーション計画を作成し、影響範囲を明記する。
- SAML証明書はIdPと1Password側で重複期間を持たせる(新旧証明書を両方有効にして切替検証)。
- SCIMトークンは新トークンを発行→IdPへ登録→同期をテスト→旧トークンを失効の順で切替える。
- 本番前にパイロットグループでサインイン・プロビジョニングを検証する。
SCIM設定の実務手順とトラブルシューティング(サンプル)
SCIMの基本操作手順と実用的なテストコマンド例を示します。エンドポイントやパスはテナントごとに異なります。
- 事前に1PasswordでSCIMトークンを生成する。
- IdPのSCIMコネクタにエンドポイントとトークンを登録する。
- 属性マッピング(primaryEmail → email 等)とグループマッピングを設定する。
- 同期テスト:ユーザー作成、更新、無効化、グループ追加で反映を確認する。
サンプル SCIM GET(プレースホルダを置換して使用):
curl -i \
-H "Authorization: Bearer
-H "Accept: application/scim+json" \
"https://
サンプルユーザー作成JSON(SCIM v2 準拠の例):
{
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"],
"userName": "[メールアドレス削除]",
"name": { "givenName": "John", "familyName": "Doe" },
"emails": [{ "value": "[メールアドレス削除]", "primary": true }],
"active": true
}
トラブルシューティングのヒント:
- 401/403:トークン誤登録、トークン期限、IP制限を確認する。
- 400系:属性不整合(必須フィールド不足)が原因のことが多い。
- 429:レート制限。大量同期はバッチ化する。
必ず公式のSCIM APIドキュメントでエンドポイントと仕様を確認してください。
Secrets Automationとクライアント管理
Secrets Automationはランタイムでのシークレット供給を自動化します。CI/CDやKubernetesとの連携により、秘密情報の安全な供給とローテーションが可能です。
CI/CD/Connect導入例(GitHub Actionsなど)
導入の流れと注意点を示します。こちらは一例です。
- サービスアカウントを作成し、最小権限のConnectトークンを発行する。
- CI側にトークンを安全に格納(ランナーのシークレットストア)する。
- 実行時にConnectまたはop CLIで必要なシークレットを取得し、環境変数として利用する。
- ログにシークレットが残らないように出力を抑止する。
簡易的な取得手順(概念例):
- Connectトークンを環境変数に設定(例:OP_CONNECT_TOKEN)。
- CIランナーでAPI/CLIを呼び出してシークレットを取得。
- 実行後はトークンの使用ログを監査する。
詳細な実装は利用するコネクタ(Connect、op CLI、公式GitHub Actions)に従ってください。シークレット注入は短時間でローテーションする設計を推奨します。
デバイスとクライアント管理(配布・リモートワイプ)
端末配布と紛失対応の運用ルールを整備します。
- 管理端末はMDM(Intune、Jamf 等)で配布・更新を行う。
- 個人端末の利用はポリシーで制限し、ログ監視や追加認証を要求する。
- 紛失時はMDMのワイプと1Passwordのセッション無効化を同時に実行する手順を定義する。
- ブラウザ拡張は自動更新を有効にし、使用範囲をポリシーで制御する。
運用・監査・移行・コスト管理とコンプライアンス
導入後は運用の安定化と法令順守が重要です。監査、移行、コスト管理、コンプライアンス観点でのチェックリストを示します。
監査ログとSIEM連携
監査ログをSIEMへ転送し、長期保存とアラート設定を行います。
- 収集すべきイベント:認証失敗、MFA変更、管理者ロール変更、SCIMの操作、Secretsの取得イベントなど。
- ログ保持期間は法令と社内規程で決める。例として90〜365日を検討。
- SIEM連携はAPI経由または定期エクスポートで行う。転送時はTLSとアクセス制御を確認する。
- アラート例:大量の認証失敗、管理者権限の異常付与、SCIMでの大量削除。
公式のエクスポート/API仕様はドキュメントを参照してください。
移行チェックリスト(高レベル)
既存ツールからの移行手順例です。段階的に実施してください。
- 既存データをエクスポート(CSV等)し、クレンジング(重複・不要データ削除)を実施。
- テストVaultへサンプルインポートし、権限・検索・表示を検証。
- パイロットグループで実運用テスト。SSO/SCIM/Secrets Automationを個別検証。
- 本番移行。旧システムの資格情報は段階的にローテーションして停止。
- 移行後の監査とログレビューを実施。
コンプライアンスと契約上のチェックリスト
法務・コンプライアンス観点で確認すべき項目です。
- データ居住性(リージョン制限)が必要かを確認する。
- ログ保持期間とエクスポート要件を社内規程と照合する。
- ベンダーの第三者監査(SOC2、ISO/IEC 27001 等)の有無とレポート入手方法を確認する。
- サービスレベルや障害時の対応(SLA)を契約で確認する。
- サブプロセッサーのリストとデータ処理契約(DPA)を確認する。
必要に応じて社内法務や外部専門家と相談してください。
プランと機能マッピング(概略)
機能の可否はプランと時期で変わります。以下は概略の例です。最終的には公式のプラン比較ページを確認してください。
| 機能 | Teams | Business | Enterprise |
|---|---|---|---|
| SSO(SAML/OIDC) | 制限あり/確認要 | 利用可能 | 利用可能(拡張機能) |
| SCIM(自動プロビジョニング) | 制限あり/確認要 | 利用可能 | 利用可能(拡張設定) |
| Secrets Automation / Connect | 別途オプションの可能性 | 利用可(要確認) | 利用可(エンタープライズ向け機能) |
| 監査ログの詳細・エクスポート | 基本 | 標準 | 詳細・長期保持オプション |
| エンタープライズ向けサポート | - | 追加オプション | SLA/専任サポート |
上表は概略です。最新の機能差分や料金は必ず公式の料金/機能ページで確認してください。
参考・関連リンク
以下は公式ドキュメント等の参照例です。各リンク先で最新の手順・仕様を確認してください。
-
1Password Business 製品ページ(プラン比較)
https://1password.com/business/ -
1Password 公式サポート(一般)
https://support.1password.com/ -
SSO(SAML/OIDC)に関する公式ドキュメント(検索対象)
https://support.1password.com/sso/ -
SCIM / 自動プロビジョニング(公式ドキュメント)
https://support.1password.com/scim/ -
Secrets Automation / Connect(公式ドキュメント)
https://developer.1password.com/connect/ -
監査ログ・エクスポートに関する情報(公式サポート)
https://support.1password.com/activity-logs/ -
料金・トライアル情報(公式)
https://1password.com/pricing/
上記リンクは参照例です。機能の可否やUIの配置、トライアル期間などは随時変更されます。導入前に公式ドキュメントとベンダーにて最終確認してください。
まとめ(導入で優先すべきポイント)
- ドメイン検証・IdP権限・Account Ownerの体制を先に固める。
- Vaultとロールは最小権限で設計し、グループ同期で運用を簡素化する。
- SSO/SCIMはステージングで段階的に検証し、証明書やトークンのローテーション手順を作成する。
- Secrets Automationは最小権限のサービスアカウントと短期ローテーション設計で導入する。
- コンプライアンス(データ居住性、ログ保持、第三者監査)は契約段階で確認し、SIEM連携を計画する。