Entra IDを導入したのに、退職者のアカウントがいくつかのSaaSにそのまま残っている。そんな状況に心当たりがある情シス担当者は少なくないはずです。

IDaaSは認証基盤として優れたツールですが、その役割は認証とSSO連携対象のSaaSへの基本プロビジョニングに集中しており、企業が利用するすべてのSaaSのライフサイクル管理をカバーできるわけではありません。IDaaSを導入すればSaaS管理は完結するという思い込みが、気づかないうちに管理の空白地帯を生み出しています。

本記事では、IDaaSとSaaS管理ツールの役割分担を整理した上で、Entra ID・OktaとJosysを組み合わせた一気通貫管理の具体的な構成を解説します。IDaaSを導入済みで次のステップを探っている情シス担当者の方に向けた内容です。

この記事でわかること：

• IDaaSとSaaS管理ツールの役割の違い
• IDaaSだけでは補えない管理の空白地帯4つ
• Entra ID × Josys、Okta × Josys の連携構成
• 入退社・異動時の自動化フロー（Before / After）
• 自社に最適な連携構成を選ぶ判断基準

IDaaSとSaaS管理ツール、それぞれの役割

IDaaSとSaaS管理ツールは担う役割が明確に異なります。どちらも「SaaSに関わる管理ツール」として混同されがちですが、両者を正確に理解することが自社の管理基盤を設計する出発点になります。

IDaaSが担う領域

IDaaSはクラウドで提供されるID管理・認証基盤で、誰が何にアクセスできるかを認証・認可することを主な役割とします。

主な機能は4つあります。

• SSO（シングルサインオン）：1つのIDで複数のSaaSにログインできる環境を提供する
• MFA（多要素認証）：パスワード以外の認証要素を追加してセキュリティを強化する
• IdP（IDプロバイダー）機能：SaaSに対してSAMLやOIDCで認証情報を提供する
• SCIMプロビジョニング：SCIM対応SaaSへのアカウント作成・更新・削除を自動化する

代表的な製品はMicrosoft Entra ID（旧Azure AD）、Okta、Google Workspace、OneLoginです。認証の信頼性とSSO連携のカバー範囲において、これらは高い評価を受けています。

SaaS管理ツール（SMP）が担う領域

SaaS管理プラットフォームは、企業が利用するSaaS全体を俯瞰して管理する基盤です。IDaaSが認証の正確さを担うとすれば、SMPは管理の網羅性を担います。

主な機能は次の4点です。

• SaaS全体の可視化：IDaaSに登録されていないSaaSも含めてアカウント状況を一覧管理する
• ライセンスコスト管理：未使用アカウントの検出と削除でコストを最適化する
• シャドーIT発見：承認されていない野良SaaSを検出して管理下に置く
• 入退社の一括プロビジョニング：IDaaS連携外のSaaSも含めてアカウント操作を自動化する

代表的な製品はJosys、マネーフォワード Admina、BetterCloudです。IDaaSと組み合わせることで、認証とライフサイクル管理の両方をカバーできます。

参考URL: https://www.gluegent.com/service/gate/column/saas-management/

参考URL: https://locked.jp/blog/what-is-idaas/

IDaaSだけでは補えない管理の空白地帯

IDaaSを導入した企業が次に直面するのは、IDaaSだけでは管理しきれない領域があるという現実です。4つの空白地帯を順番に見ていきます。

空白地帯①　SCIM非対応SaaSの管理

Entra IDやOktaのSCIMプロビジョニングが機能するのは、SCIM規格に対応したSaaSだけです。SlackやSalesforce、ZoomといったグローバルなSaaSはSCIM対応が進んでいますが、kintone、楽楽精算、freeeなど国産SaaSや中小規模のSaaSはSCIM非対応のケースが多くあります。

SCIM非対応のSaaSでは、IDaaSからのプロビジョニング自動化ができないため、担当者が手動でアカウントを操作することになります。従業員数が増えるほど、この手動対応の工数と漏れのリスクは拡大します。ジョーシスのプラットフォームはこれらの未連携SaaSも含めてアカウント状況を可視化し、一括操作を可能にします。

空白地帯②　シャドーITの発見と管理

IDaaSが管理するのは、SSOとして登録されたSaaSの認証だけです。IT部門の承認を得ずに従業員が個人でサインアップした野良SaaSは、IDaaSの管理対象外になります。このシャドーITは情報漏洩リスクだけでなく、ライセンスの重複導入によるコスト増にもつながります。

Josysはブラウザ拡張やネットワーク解析を通じて、IDaaSに登録されていない未承認SaaSを検出できます。発見したシャドーITをIDaaSのSSO対象に追加するか利用を禁止するかを判断する材料として活用できます。

シャドーITとは

空白地帯③　ライセンスコスト管理

IDaaSはID管理と認証に特化しており、SaaSのライセンスコスト管理機能を持っていません。退職者のアカウントを削除しても、SaaS側のライセンス契約が残ったまま課金が続くケースがあります。入社後に使われなくなったアカウントのライセンス費用が累積することも、IDaaSだけでは検出できません。

JosysのようなSMPでは、各SaaSの利用状況として最終ログイン日時やアクセス頻度を収集し、未使用アカウントやコスト削減可能なライセンスを自動で特定します。

SaaSライセンス管理とは

空白地帯④　アクセス権棚卸しと監査証跡

ISMS認証やSOX対応では、誰がどのシステムにどの権限でアクセスできるかを定期的にレビューし、その証跡を記録・提出することが求められます。IDaaSは認証ログを記録しますが、全SaaSの権限一覧を横断的にまとめたアクセス権レポートを自動生成する機能は十分ではありません。

Josysはすべての連携SaaSのアカウント情報をリアルタイムで集約し、アクセス権棚卸しレポートを自動生成します。ISMS審査や内部監査の前に手作業でExcelに集計する時間を大幅に削減できます。

アクセス権限 棚卸し 方法

参考URL: https://compass.et-x.jp/blog/column-040.html

IDaaS × SaaS管理ツールの連携アーキテクチャ

IDaaSとSMPを組み合わせた管理基盤は、人事システム、IDaaS、SMP、各SaaSという3層構造で設計されます。各層の役割を正確に把握することが、連携を正しく設定する前提です。

データの流れと役割分担

3層それぞれが担う役割は次のように整理できます。

人事システムは入退社・異動の唯一の正しい情報源です。社員の在籍状況・所属部署・役職という人事情報が、IDaaSとSMPへのプロビジョニングのトリガーになります。

IDaaSはSAMLやOIDCによるSSOと、SCIM対応SaaSへの自動プロビジョニングを担います。人事システムからの情報を受けて社員のIDを作成・更新・削除する、認証基盤としての役割です。

Josysはその上でIDaaSと連携しながら、IDaaSだけでは管理できないSaaSも含めて全体を可視化・管理します。未連携SaaSのアカウント情報を収集し、棚卸しレポートを自動生成する役割を担います。

各SaaSは、IDaaSからSCIM連携でアカウント情報を受け取るか、Josysの直接連携によってアカウントが管理されます。同一のSaaSに対してIDaaSとJosysの両方から連携を受ける構成も珍しくありません。

SCIMが果たす役割

SCIMはシステム間でIDを自動同期するためのプロトコルで、IDaaSとSaaS間のアカウント作成・更新・削除を標準化された形で自動実行できます。

SCIM対応SaaSはEntra IDやOktaからの指示を自動的に受け取り、ユーザーの追加や無効化を処理します。SCIM非対応のSaaSはこの自動化から除外されるため、そこをJosysが補完する構造になっています。

参考URL:https://waha-transformer.com/topics/column/idaas-etl

参考URL: https://blog.cybozu.io/entry/2023/08/21/080000

Entra ID × Josys 連携の実装パターン

Microsoft Entra IDは、Microsoft 365を中心に業務を展開する日本企業で広く普及しているIDaaSです。Entra IDの認証基盤にJosysを組み合わせることで、SaaS管理の空白地帯を効率よく補完できます。

連携の仕組みと設定ステップ

JosysはEntra IDと連携し、ユーザー情報・グループ情報をリアルタイムで同期します。Entra IDに登録されたユーザーの属性（部署・役職・在籍状況）をJosysが取得し、SaaS管理のベースデータとして活用する構成です。

連携の基本的な流れは次のとおりです。

1. Entra IDにJosysをOAuthアプリとして登録し、アカウント情報の読み取り権限を付与する
2. JosysがEntra IDのユーザー一覧を同期し、連携SaaSのアカウントとマッピングする
3. 退職者がEntra IDで無効化されると、Josysがその情報を検知して未連携SaaSのアカウントも一括で無効化する
4. JosysがSaaS全体のアカウント状況を集約し、棚卸しレポートを自動生成する

この構成では、Entra IDが担うSCIM対応SaaSへのプロビジョニングと、Josysが担う未連携SaaSの管理が並行して機能します。担当者が個別にSaaSへログインしてアカウントを削除する作業は不要になります。

Entra ID × Josys が特に有効なケース

Microsoft 365（Teams・SharePoint・Exchange）を中心に業務が回っており、kintone・Slack・freeeといった国産SaaSを多数使っている企業に特に有効です。Entra IDのSSO対象はMicrosoft系サービスとSCIM対応SaaSに集中しますが、Josysがその周辺のSaaSを補完管理することで、管理のカバー範囲が大きく広がります。

ISMS認証の取得やSOX対応でアクセス権証跡が必要な企業でも、Josysの自動レポート生成機能が監査対応の工数を削減します。

IDaaSとは

参考URL: https://www.hitachi-solutions.co.jp/okta/column/idaas-saas/

Okta × Josys 連携の実装パターン

Oktaはグローバルなシェアを持つIDaaSで、SaaS連携数の豊富さとWorkflowsによる自動化機能が強みです。Okta基盤にJosysを追加することで、Okta管理外のSaaS・コスト管理・デバイス管理までをカバーする管理体制が整います。

Okta × Josys の役割分担

OktaはSAMLとSCIMによるSaaS認証・プロビジョニングを担います。Okta Lifecycle Management機能で入退社時のアカウント操作を自動化しながら、ジョーシスのプラットフォームがOkta管理外のSaaSとデバイス・ライセンスコストを管理する構成です。

Okta Workflowsはノーコードで複雑な自動化フローを構築できる機能ですが、Okta連携済みのSaaSに対象が限られます。Josysを組み合わせることで、Okta連携外のSaaSについても自動管理の範囲を広げられます。ライセンスコスト管理はOktaの標準機能に含まれていないため、Josysのコスト可視化機能が補完的に機能し、未使用ライセンスの検出や削除推奨をJosysが実施する連携が可能です。

Okta × Josys が特に有効なケース

グローバル展開しており複数のSaaSをOktaで一元管理しているが、国産SaaSや未連携SaaSの管理が課題になっている企業に向いています。Okta導入済みでSMPを追加検討しているケースでは、Josysが設定工数を最小化しながら連携できる選択肢の一つです。

SaaSアクセス管理とは

‍SaaS管理とは

参考URL: https://www.hitachi-solutions.co.jp/okta/column/idaas-advantages-disadvantages/

入退社・異動時の自動化フロー（具体例）

IDaaS × Josys の連携が最も効果を発揮するのは、入社・退職・異動という3つのライフサイクルイベントです。Before / Afterで自動化前後の変化を整理します。

入社時の自動プロビジョニングフロー

自動化前は、情シス担当者が入社予定者のリストを受け取り、各SaaSに個別でアカウントを作成する手動作業です。利用SaaSが20種類あれば20回のログインと設定が必要になり、漏れが起きると入社初日に特定のツールが使えないという問題が発生します。

自動化後の流れは次のとおりです。

1. 人事システムに新入社員の情報（入社日・部署・役職）が登録される
2. JosysがIDaaS（Entra ID / Okta）へユーザー作成指示を送る
3. IDaaSがSCIM対応SaaSへのアカウントを自動作成する
4. JosysがSCIM非対応SaaSへのアカウント作成も並行して処理する
5. 入社初日、新入社員はすべてのSaaSにアクセスできる状態で業務を開始できる

情シス担当者が行う操作はゼロです。人事システムへの登録が、すべてのSaaSのアカウント作成を自動的にトリガーします。

オンボーディング IT 自動化

退職・異動時の自動デプロビジョニングフロー

自動化前は、情シス担当者が退職者リストをもとに各SaaSにアクセスしてアカウントを手動で削除します。利用SaaSが多いほど対応が追いつかず、退職後もアカウントが数週間残るケースが発生します。

自動化後の退職フローは次の流れです。

1. 人事システムに退職日が登録される
2. Josysが退職日の時刻に合わせてIDaaSへのアカウント無効化指示を送る
3. IDaaSがSSOを無効化し、SCIM対応SaaSのアカウントを削除する
4. JosysがSCIM非対応SaaSのアカウントも一括で無効化・削除する
5. Josysが全SaaSの処理完了状況を記録し、証跡レポートに反映する

退職日の翌日から、元従業員はいずれのSaaSにもアクセスできなくなります。誰かが対応するだろうという属人的な運用は構造的に排除されます。

異動時は、旧部署に紐づくSaaSのアクセス権が自動で削除され、新部署のロールに対応したSaaSのアクセス権が自動付与されます。権限の累積による肥大化を防ぎ、現在の業務に必要な権限だけを持つ状態を保てます。

入退社 アカウント自動化 SaaS

‍オフボーディング IT 自動化

IDaaS × SaaS管理 連携ツール比較6選

IDaaSとSMPの選択肢を整理します。自社の既存インフラ・規模・優先課題に応じて最適な組み合わせは変わるため、各製品の特徴を把握した上で判断してください。

Josys

ジョーシスのプラットフォームは、SaaS管理とITデバイス管理を統合したSMPです。350種類以上のSaaSと連携可能で、Entra ID・Okta・Google Workspaceとの連携にも対応します。IDaaS連携外のSaaSも含めたアカウント可視化・棚卸しレポート自動生成・退職トリガーによるデプロビジョニングを提供し、IGA的な機能をSaaS管理と組み合わせて実現します。

導入前は各SaaSへの個別ログインによる手動管理だったものが、導入後はJosysの一元管理画面からすべてのSaaSのアカウント状況を確認・操作できる状態に変わります。

マネーフォワード Admina

国産SMPとして広く普及しているAdminaは、300種類以上のSaaSと連携し、コスト管理と利用状況の可視化を強みとします。Entra IDやGoogle Workspaceとの連携実績が豊富で、国内サポート体制も充実しています。コスト削減を優先課題とする企業に向いています。（参考: https://admina.moneyforward.com/jp）

BetterCloud

グローバルSMPのBetterCloudは、Google WorkspaceとSlackの深い統合管理を特徴とします。ポリシーベースの自動化が得意で、Google Workspace中心の組織に強みがあります。（参考: https://www.bettercloud.com/）

Microsoft Entra ID Governance

Entra IDの上位機能として提供されるIGA機能です。アクセスパッケージ管理・エンタイトルメント管理・アクセス認定などのガバナンス機能を、追加ライセンスでEntra IDに追加できます。Microsoft 365環境に閉じた管理であれば有効ですが、SCIM非対応の外部SaaSには対応できません。（参考: https://www.microsoft.com/ja-jp/security/business/microsoft-entra）

Okta Identity Governance

OktaのIGA機能として提供されるモジュールです。アクセス認定・ガバナンスワークフロー・リスクベースのアクセス管理をOkta基盤に追加できます。Okta連携済みのSaaSには強力なガバナンスを適用できますが、Okta管理外のSaaSへの対応はSMPとの組み合わせが必要です。（参考: https://www.okta.com/ja-jp/products/identity-governance/）

Zluri

AIによるSaaS検出とコスト最適化を強みとするグローバルSMPです。SaaSスプロールの発見・未使用ライセンスの自動検出・更新管理の自動化が得意で、SaaSの種類が多くコスト管理が課題の企業に向いています。（参考: https://www.zluri.com/）

参考URL: https://josys.com/

参考URL: https://notepm.jp/blog/12237

自社に最適な連携構成を選ぶ判断基準

IDaaSとSMPの連携構成は、既存IDaaSの種類・企業規模・利用SaaSの特性によって最適解が変わります。判断軸を整理します。

企業規模・SaaS利用状況別の選び方

既存IDaaSがEntra IDの場合は、Josysとの連携が特に設定しやすく、Microsoft系のエコシステムを活かしながらSaaS全体の管理を拡張できます。従業員500〜1,000名規模の中堅企業であれば、Entra ID + Josysの組み合わせが現実的な第一選択です。

Oktaを使っている場合は、Okta Lifecycle ManagementにJosysを追加することでOkta管理外のSaaSをカバーできます。グローバル展開企業でOktaを中心にSSO統合を進めているケースに向いています。

国産SaaSの利用比率が高い企業は、SCIM非対応のSaaSが多く存在します。IDaaSだけでは管理できないSaaSが多いため、Josysのように直接API連携で未連携SaaSを管理するSMPとの組み合わせが特に有効です。

導入順序の推奨ステップ

連携構成を段階的に構築するには、次の順序が現実的な選択肢です。

1. まずIDaaSで認証基盤を整える。SSO・MFAを全社的に適用し、認証のセキュリティを確保する
2. JosysをIDaaSと連携させ、全SaaSのアカウント状況を可視化する。この段階で管理の空白地帯が明確になる
3. SCIMプロビジョニングを設定して入退社の自動化を構築する。まず退職時のデプロビジョニングから始めるとリスク削減効果が高い
4. 発見したシャドーIT・未連携SaaSをJosysの管理下に追加し、全SaaSを一元管理する状態へと移行する

一度に完全な構成を目指すよりも、まず可視化するところから始め、段階的に自動化の範囲を広げていく方が現場への定着が早くなります。

SaaS管理 自動化

まとめ

IDaaSとSaaS管理ツールは、どちらか一方が優れているのではなく、それぞれの強みが補完し合う関係にあります。

Entra IDやOktaは認証とSCIM対応SaaSへのプロビジョニングを確実に担い、ジョーシスのプラットフォームはIDaaSの管理外に存在するSaaS・シャドーIT・コスト管理・アクセス権棚卸しを補完します。両者を組み合わせることで、入社初日から退職日当日まで一貫した管理体制が実現します。

IDaaSを導入済みの企業が次に取り組むべきは、自社の全SaaSのアカウント状況を可視化することです。Josysとの連携を通じて管理の空白地帯を洗い出し、シャドーITや過剰権限を発見するところから着手してみてください。

Josysの無料デモを申し込む

IDaaS連携・SCIM対応・SaaS一元管理の機能詳細について、ジョーシスのプラットフォームの詳細をご確認ください。Entra ID・Okta・Google Workspaceとの連携設定をデモ環境でご体験いただけます。

Josys 無料デモ申し込みはこちら