Oktaが提供するプロセス自動化ソリューション「Workflows」

Oktaでは、全てのテクノロジーにアクセスできる、安全なデジタル体験を提供するための機能を「Okta Products」として用意しており、これらを機能させる共通サービス「Okta Platform Services」として6つのコアサービスを提供している。具体的には、柔軟なスキーマによってユーザー情報を格納できるユニバーサルディレクトリ「Direcories」、APIのテンプレートとツールキットを使用してインテグレーションが可能な「Integrations」、Oktaサービスで生成されたすべてのデータを収集し、可視化や気づきを提供する「Insights」、カスタマイズ可能なコンポーネント「Identity Engine」、デバイスからアイデンティティを自由にすることを可能にするコンポーネント「Devices」、そして必要なプロセスやフローを正確に実行することが可能なサービス「Workflows」だ。

このWorkflowsは、開発者の協力のもとIT管理者が行ってきた手作業でのタスクを排除し、アイデンティティ中心のプロセスを自動化することが可能なソリューション。本来であればカスタムコードを駆使し、一貫性のないプロセスをドキュメント化する必要があるため、セキュリティリスクにさらされる危険性もある。そこで、コードを使用することなく、ユーザーのプロビジョニングやファイル転送といったタスクの自動化が可能になる、それがWorkflowsの魅力の1つだろう。

新たなメンバーを入社初日に迎え入れるためのプロセスを自動化

例えば、営業担当となるメンバーが新たに入社したケースを想定し、ユーザー登録から入社後のToDoリスト作成、そして営業部門が管理するSlackやOffice365へのアクセスまでを、コードを使わずに自動化するデモを見ていこう。

最初に管理者は、OktaのWorkflowsにアクセスし、営業部門の一員として迎え入れるためのプロセスをGUIで定義することから始める。いちから設定することも可能だが、従業員のために設定されていたオンボーディングフローが既に存在していれば、それを複製してカスタマイズしながら設定することも可能だ。

Workflowsの画面内では、アプリケーションごとにテンプレート化された“カード”と呼ぶモジュールを組み合わせていき、Oktaにてユーザーがアクティブ化されたタイミングで、それぞれ連携したアクションが自動的に開始される。このカードを作成する際には、連携可能なアプリケーション一覧画面からフロー上必要なものを選択し、アプリケーションごとに可能なアクションをカード上からプルダウンで選択できる。カードごとに設定されたアクションは、マウスでドラックするだけで連携させることができ、専門的な開発者でなくとも、IT管理者やビジネスアナリストなどプロセスを十分把握している人であれば、Workflowsを使いこなすことができるはずだ。

実際のデモでは、Oktaにてアクティブ化されたタイミングで、米国内の従業員かどうかをユニバーサルディレクトリに対して確認し、Okta内で作成された、入社を歓迎する旨のウェルカムメッセージを、メールであればOffice365から、SNSであればSlackを経由して送付するという流れだ。同時に、Slackに営業部門のチャンネルを用意してすぐにアクセスできる環境も、全てWorkflows上の設定で行うことができる。さらに、Excelにて作成された営業担当者向けのToDoリストをGoogle スプレッドシートを介してアクセスできるように設定し、このGoogle スプレッドシートの名前もユーザー本人の名前に置き換えて表示させるといったカスタマイズも容易だ。このGoogle スプレッドシートへアクセスするためのURLをウェルカムメッセージ上に埋め込む処理もOkta内で実施できる。

複数のアプリケーションを自動的に動かすためのフローが完成した段階で、このフローをオンにし、ユニバーサルディレクトリから営業部門へ割り当ててあげることで、入社初日のユーザーに対するアクションが自動化できるようになる。

退職者へのアクセス制限を自動化することでセキュリティリスクを軽減

新たなメンバーを迎え入れるためのプロセスについて見てきたが、今度はメンバーが退職するケースを想定し、安全な形でメールデータへのアクセス制限や退職者がアクセスできる限定されたWebサイトへの誘導といった流れのデモを見ていきたい。

管理者は、メンバーのOktaアカウント一時停止のフラグが設定された時点で使う、退職者用のアイデンティティを作成することから始める。具体的には、退職者が持つ個人的なメールアカウントから本人の身元が確認できるような情報へのアクセスを遮断したうえで、退職者に必要な情報、例えば税務書類や古い給与明細といった情報が確認できるポータルサイトにアクセス先を絞っていくことになる。また、Boxにて保持している退職者のフォルダを管理者に転送し、アクセスできる期間を数日間設定したうえで割り当てていくといったプロセスが自動化できるようになる。

実際にOktaのユニバーサルディレクトリ上でアカウントの一時停止を行うと、ミッションクリティカルなアプリケーションにアクセスするためのメールは一時停止され、個人で利用していたGmailアカウントはアクティブのままになる。一般的には、これらの処理は複数のアプリを手作業で連携させる必要があるが、WorkflowsがあればAPIやカスタムコードを駆使せずとも、より信頼性の高い代替え手段としてWorkflowsを利用することが可能だ。

とあるメンバーへの入社時と退職時の流れを見てきたが、これまで人事部門が手作業で行ってきた従業員のライフサイクル管理をOktaのWorkflowsによって簡素化できることが分かるだろう。アイデンティティ情報と連動することで、新たなメンバーへの環境整備が容易に実現でき、かつ退職者に対するセキュリティリスクに備えることができるようになるわけだ。

従業員だけじゃない！顧客に対するアイデンティティ管理の自動化プロセス

OktaのWorkflowsは、何も従業員だけのソリューションではない。顧客に対するアイデンティティワークフローの設定も可能となっている。Webサイトを通じて顧客から情報提供などのリクエストを受け付け、リード情報として顧客情報をCRM登録、そして個人情報を含めた機微な情報に対する法規制対応までを自動化するプロセスだ。

具体的なデモとして、自動車をオンラインで販売する企業とその情報を入手したい顧客とのやり取りにおける、Workflowsでの流れを見ていきたい。

とある消費者が自動車メーカーのWebサイトから興味のある車を見つけた段階で、名前やメールアドレスを入力し、プロモーションなどの情報提供を許可する形でWebサイトに個人情報を登録する。OktaのWorkflowsでは、新規でWebサイトにユーザー登録が行われた時点で、Salesforceに対するリード情報の登録やマーケティングチームからのメール送付などのプロセスが自動化できるようになる。そして購入に至る段階では、免許証の情報をスキャンしてもらったうえでSMSを通じて認証コードを送付し、購入する準備が整うことになる。

プライバシー対応のプロセス自動化にも役立つWorkflows

最近では個人情報保護の観点からEU一般データ保護規則（GDPR：General Data Protection Regulation）やカリフォルニア州消費者プライバシー法（CCPA：California Consumer Privacy Act）といったプライバシー関連法規への対応が企業に求められていることはご存じの通りだろう。例えばCCPAでは、企業が収集した個人情報の範囲や情報源など、その運用について、消費者自身が開示請求する権利があり、これには本人が登録した個人情報を削除してもらう権利も含まれている。

本来であれば個人情報の運用に関する情報開示請求が消費者から行われた場合、手作業でログを収集し、消費者にレポート化して開示していく必要があるため、多くの時間と手間がかかるプロセスとなるだろう。このプロセスを自動化するためには、アプリケーションごとにAPIを駆使してスクリプトを組んでいくことが必要だが、OktaのWorkflowsではコードによる開発が不要で、個人情報の運用状況の開示や情報削除が可能なフローを作成することができる。

管理者は、ユーザーからのリクエストを受け付けるカードとともに、必要なデータをダウンロードするカード、ダウンロードしたデータを削除するカード、そしてGoogle スプレッドシート上に情報ダウンロード要求からの履歴がログとして記録できるカードまでをOktaにて用意する。Workflows上でテストを実施すれば、それぞれのカードが正しく機能したかが色分けされて判別できるだけでなく、リクエストが成功したかどうかなどの進捗状況が正確に把握できる。履歴が記録されたヒストリーを参照すれば、トラブルシュートが容易になるだけでなく、監査時にも大いに役立つだろう。

ユーザー側は、登録したWebサイト内のアカウント情報に個人情報関連の情報ダウンロードや削除が可能なアイコンが用意されているため、本人確認のためのSMS認証を通じてダウンロードや削除がユーザー主導で実施できるようになる。

従業員と顧客向けのアイデンティティ管理について見てきたが、双方のプロセスにおいて特別なコードを自身で書く必要がなく、テンプレートとして用意されたカードをつなぎ合わせることで業務フローが設定できるようになることがお分かりいただけたと思う。まさに、開発者でなくともアイデンティティ中心の複雑なフローがGUIだけで簡単に設定できるWorkflowsは、単なるアイデンティティ管理の枠を超えた業務の自動化、省力化に役立つものになってくれるはずだ。