Gandi.netとは。

ccTLDを含む800以上のトップレベルドメインを提供しているレジストラです。 すべてのドメイン名を1つのプラットフォームで管理することができます。

GitHubのOrganizationやTeamのような概念があり、組織で利用する際に柔軟に権限を設定し複数人で管理することが可能で、SAML SSOも設定可能だったり、APIも豊富でTerraformプロバイダーも存在していたりと情シスにとって非常に管理しやすいレジストラです。

また、日本国内で人気の某レジストラのように、ドメインの更新画面にたどり着くことが難しかったり、大量のメールが届いて大事なメールが埋もれてしまったり、ある年から急に更新価格が高騰するといったこともなく、安心して利用することができます。

全てのTLDを管理できて、「コスト」「安全性」「管理のしやすさ」どれをとっても高い水準に達しているため、上記のような課題を感じている組織には移行先として非常におすすめできます。
BTAJPでは当初よりGoogle Domainを利用していましたが、Google Domainのサービス終了に合わせて全ドメインをGandiに移管しました。

安全性について

海外のレジストラであるため、信頼できるのか心配な方もいらっしゃるかもしれませんが、ご安心ください。ホワイトペーパーが公開されており、堅牢なインフラストラクチャと高水準なセキュリティレベルで業務が行われていることが確認できます。

AWS Route53と提携している

現在のAmazon Registerができるまでは、Route53はGandiと提携していたようです。https://aws.amazon.com/jp/route53/faqs/
https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/registrar-transfer-to-amazon.html

安全なセキュリティ

ISO27001に準拠して運用されています。 詳細は、gandiトラストセンターを参照してください。 管理用アカウントにはMFAを設定することが可能なため、より安全に管理することができます。

アクティビティログ

ドメイン名に対するアクティビティログを確認することができます。 ドメインにアクションしたユーザーと日時、アクション内容をログで確認することが可能です。

ログ例

変更前と、変更後もログで確認することができます。

組織とチームのアクティビティログも詳細に確認することができます。

インフラについて

IaaS等のパブリッククラウドを利用せず、データセンター内の専用ルーム内に構築されているそうです。 これらのルームは厳格に管理されているため、許可された従業員しか立ち入ることはできない運用となっているようです。

豊富なAPI

ドメイン名の期限日をモニタリングしたり、DNSレコードを作成したり等、豊富なAPIが提供されており、terraform等から管理することも可能になっています。https://www.gandi.net/ja/solutions/api

サポートについて

世界中にオフィスを構えていて、24時間体制でサポートをしてくれます。 また、日本語を話すことができるスタッフが対応してくれるそうなので、これは日本人にとっては嬉しいですね。

管理アカウントの管理

アカウントについては、個人でまずgandiのアカウントを作成し、作成したアカウントを所属組織に追加してもらうという処理が必要になります。
GitHub Teamみたいなイメージをしてもらうとわかりやすいかもしれません。

管理画面は日本語にも対応しており、「User Settings」→ 「Preferred language」から「日本語」を選択することで、日本語表示に変更できます。

gandi SSOについて

gandiはSAMLによるSSOに対応しています。
残念ながら、SSOはオプションとなっているため別途費用が発生します。
また現時点(2025年2月)では、SCIMには対応していないためユーザーは手動でgandi側に作成する必要があります。
ドメイン関係は管理アカウントの乗っ取り被害等にあわないためにも、ID、パスワードだけでなくMFAやSSOが設定できるレジストラを選択するのが良いと思います。
SSOオプション費用については、直接gandiへお問い合わせください。
詳細な内容については、以下の記事をご参照ください。
https://news.gandi.net/en/2022/02/single-sign-on-sso-now-available-for-gandi-corporate-customers/

BTAJPでは、利用ドメインを安全に管理するためにSSOオプションを利用しています。
レジストラでのSSO設定というのはあまり見ないと思いますので、情シスに向けて手順を公開します。

SSO設定

ここでは管理画面を日本語設定にしている場合の画面で記載しています。
またIdPとしては、Oktaを利用した場合の手順です。

• SSOオプションが有効になると、管理画面の「組織」→「設定したい組織名」→「ツール」タブに「SAMLシングルサインオン」が表示されます。

• 【設定】をクリックします。

• セットアップステップが表示されるので、【Start】をクリックします。

各種情報が表示されるので控えて、【続ける】をクリックします。 また、「あなたのメールアドレス」部分に登録したメールアドレスが saml-admin というグループに自動的に追加されます。 こちらのユーザーを利用して、SSOログインをテストします。

• IdPメタデータURLを発行するために以下のステップに進みます。

Okta側設定

• Okta Admin Consoleへアクセスします。

• 「アプリケーション」→「アプリケーション」→【アプリ統合を作成】をクリックします。

• 「SAML2.0」を選択肢、【次へ】をクリックします。

• 「アプリ名」や「アプリロゴ」を設定し、【次へ】をクリックします。 アプリロゴは、公式サイトにあるプレスキットのロゴがおすすめです。

• gandi.net側で控えておいた各種値を入力し、【次へ】をクリックします。

• 【終了】をクリックします。

• 「サインオン」タブにある、メタデータURLをコピーします。

• gandi.netにアクセスを許可するユーザーの割り当ても忘れずに実施してください。

gandi側SSO設定

• コピーしたURLを事前準備で表示された画面に貼り付けます。

• 内容に問題がなければ、「完璧です！」と表示されます。

• 下までスクロールし、【Save configuration】をクリックします。

• 内容を確認し、【SAMLを有効化】をクリックします。

SSOテスト

• シークレットウインドウ等を起動し、Oktaユーザホーム画面へアクセスします。

• gandi.netのアイコンをクリックし、正常にログインできることが確認できたら終了です！

グループの作成

デフォルトで作成される saml-admin グループはSAMLの設定変更権限を有しています。 SAMLの設定をいじられても問題なければ saml-admin グループにSAMLでログインさせたいメールアドレスを追加していけばいいのですが、SAMLを無効化することができたり、権限を自由に変更することができてしまうため、一般ユーザー用や、経理用グループ等を作成しておくと良いでしょう。

• 「組織」→「設定する組織名」→「チーム」タブを開きます。

• 【チームを作成】をクリックします。

• 「チーム名」を入力し、【作成】をクリックします。

• 権限設定画面が表示されるので、付与したい権限を有効にし、【送信】をクリックします。 一番上に、「経理担当者」や「技術担当者」といったテンプレートが用意されているのが嬉しいですね。 ボタンをクリックすると経理担当者に必要な権限が自動的にセットされるので、そのまま送信ボタンをクリックするだけで設定が完了します。

• チームに所属させたいユーザーのメールアドレスを入力し、【追加】をクリックします。

• 追加をするとSAMLログインユーザーとして登録されます。 メールアドレス横にSAMLと表示されていますね。

• 設定したユーザーでSSOログインをし、設定した権限になっていることを確認してください。

注意事項

SAMLを有効化した後は、Sharingからのユーザー追加は不可能になると思っていたのですが、QuichShareという機能を利用することで権限付与することが可能でした。
https://docs.gandi.net/en/sharing_products/sharing_products.html#how-to-share-with-quickshare

最後に

Gandiを利用することで、.jpドメインはこっちのレジストラ、.comドメインはあっちのレジストラのように複数のレジストラに分散させることなく管理することができるようになり、ドメイン名を一元的に管理することができるようになります。

GandiレジストラにSSO設定を適用することで、企業はユーザーアカウント管理を一元化し、ドメイン管理可能なユーザーを制限することでセキュリティを向上させることができます。 特に、退職者のアカウント管理やパスワード変更の運用負担を軽減し、より安全な管理体制を維持できます。
各ドメイン事にユーザーの権限を設定できるとさらに良い気がするのですが、今のところそこまではできないようです。

この記事を書くにあたって、BTAJPはGandi社と提携しており新規事業開発マネージャーのNaimaさんにご協力いただきました。
Gandiに興味をお持ちの方は日本語でも英語でもNaimaさんに以下のアドレスから直接お問い合わせいただくことが可能です！
naima.hsu@gandi.net