シングルサインオンによる通常のWebアプリケーション

この例ではExampleCoという架空の会社のためにウェブアプリケーションを作成します。当該のアプリは、ExampleCoの従業員と請負業者によって用いられるものとします。従業員は既存の企業ディレクトリ（アクティブディレクトリ）を用いる一方、請負業者は別のユーザーストアで管理されます。

ExampleCoは、コンサルティングを行うスタートアップ企業です。現在、従業員は約100名で、いくつかの業務を社外の請負業者に外注しています。従業員のほとんどは企業のメインオフィスで勤務するものの、リモートで勤務するチームも一部存在します。加えて、一部の従業員は頻繁に顧客の実地へと赴き、モバイルデバイスで作業します。

従業員と請負業者は、毎週スプレッドシートのタイムシートに記入する必要があります。現状のシステムは非効率的で、同社はより優れておりかつより自動化されたソリューションへの移行が必要だと判断しました。

同社は複数の利用可能なタイムシートアプリケーションを比較し、現時点では非常にシンプルなアプリケーションを求めていたため、内製ソリューションを独自に作成するのがよりコスト効率が高いとの結論に至りました。アプリは、開発者がすでに利用しているテクノロジーであり、1週間程度で準備を整えられるため、ASP.NET Coreを用いて構築されます。

ExampleCoは、簡易的に運用を開始し、従業員からのフィードバックを集めながら構築していけるよう、新しいソリューションを素早く立ち上げることを希望しています。

アプリケーションは、ログインしているユーザーにのみが利用できるものである必要があります。各ユーザーにはロールが設けられ、このロールに基づき、特定の操作を実行でき、特定のデータを閲覧できるようにします。

ExampleCoのタイムシートアプリでは、2つのロールを設ける必要があります：ユーザーと管理者：

• ユーザーロールでは、日付、勤務内容、勤務時間を指定してタイムシートに入力できます。管理者ロールも、これと同じ権限を持ちます。

• ユーザーロールでは、自分自身のタイムシートの入力内容にのみアクセスできるようにします。

• 管理者ロールでは、これに加え次のことを可能にします：

  • 他ユーザーのタイムシートの入力内容を承認または却下する。

  • 勤務内容のドロップダウンリストの値を編集できる（追加、編集、削除）。

各ユーザーには、週末までにそれぞれのタイムシートの入力が求められます。タイムシートは、毎日登録するか、週全体の内容を一度に入力するか選べます。タイムシートは、管理者により精査され、承認されます。却下された入力内容は、各従業員が更新し、再提出して承認を受けます。

同社は、全従業員のアクティブディレクトリを利用しており、従業員はアクティブディレクトリの資格情報を用いてタイムシートアプリケーションにサインインします。外部の請負業者は、ユーザーネームとパスワードを用いてサインインできます。請負業者はExampleCoの企業ディレクトリには掲載されていません。

ExampleCoは、ユーザーのログインの負荷を最小化したいと考えているものの、タイムシート入力内容の提出は承認よりリスクが低いなど、操作内容によって一定レベルのセキュリティを維持したいと考えています。ただし、承認されたタイムシートは顧客への課金に用いられるため、セキュリティは絶対必要要件となります。認証戦略は、企業の成長に合わせ適応できるよう、柔軟なものにする必要があります。例えば、管理者向けの多要素認証（MFA）などの付加的認証要件を簡単に追加できる必要があります。

会社の事務所に物理的に出勤している従業員、並びに余分なVPN接続を必要とせずリモートで勤務する従業員の両方に対応するソリューションが必要になるため、アプリはHerokuまたはMicrosoft Azureなどのクラウドプロバイダー上で導入されることになります。

• ソリューションの概要（Webアプリ + SSO）
• Auth0の構成（Webアプリ + SSO）
• アプリケーションの実装（Webアプリ + SSO）
• ASP.NET Coreの実装（Webアプリ + SSO）
• 結論（Webアプリ + SSO）