はじめに

多くのSaaSは、SAMLを用いてOktaを代表とするIDaaSと連携すると、SaaSへのログインが一律Okta経由となります。そのため、連携後は従来通りのSaaS側のID/パスワードではログインできません。
SaaSへのログインを必ずOkta経由とすることで、IPアドレス制限や多要素認証の実施、さらにはSaaSへのログイン形跡を確認できるようになります。Okta側でSaaSへのログインを一元管理できる点、セキュリティ強化の観点からもSaaSとOktaをSAML連携することが推奨されます。
しかし、Google WorkspaceとOktaをSAML連携し、一律Okta経由とした場合、Oktaへの初回ログインのためのWelcomeメールを開くことができず、結果、Okta及びGoogle Workspaceへログインできないといった問題点があります。
以前はGoogle WorkspaceとOktaをSAML連携すると、一律Okta経由となっていました。2021年11月にGoogle Workspace側で神アップデートがあり、特定の組織部門またはグループに所属の任意のユーザのみOktaを経由させずに、従来通りのGoogle Workspace側のID/パスワードで直接ログインすることが可能になりました。

詳細はGoogleの公式サイトに記載がありますので、下記よりご確認ください。
https://workspaceupdates-ja.googleblog.com/2021/11/saml-sso-sso.html

本ブログでは、下記２つをOkta Workflows機能で自動化する方法について紹介します。

• 一部のユーザのみ、Oktaを経由せずにGoogle Workspaceへ直接ログインさせる設定方法
• Oktaへ初回ログインが完了したユーザは、Okta経由に変更する操作

Oktaを経由せずにGoogle Workspaceへログインさせる設定方法

Google Workspace側の設定内容について、下記に記載します。

＜Google Workspace側の設定内容＞

• Google Workspaceの管理コンソールへログイン
• 直接ログイン可能とするユーザが所属する「組織部門」もしくは「グループ」を作成

（例：組織部門「No-SSO-Org」を作成）

（例：グループ「No-SSO-Group」を作成）

• セキュリティ > 認証 > サードパーティの ID プロバイダ（IdP）によるシングルサインオン（SSO）へ遷移

• 「SSO プロファイルの割り当ての管理」で「使ってみる」をクリック
  ※「使ってみる」は、SAML連携設定が完了している場合のみ表示されます。

• 左側ペインで対象の「組織部門」または「グループ」を選択

（例：組織部門「No-SSO-Org」を設定）

（例：グループ「No-SSO-Group」を設定）

• 「SSO プロファイルの割り当て」で 「なし」 を選択

上記設定を行うことで、設定した組織部門またはグループ所属のユーザに関しては、OktaとSAML連携していても、Google WorkspaceのID/パスワードでログイン可能となります。

また、Google WorkspaceとOkta間でプロビジョニング設定を行っている場合、Oktaから組織部門及びグループに任意のユーザをアサインすることができます。こちらの設定方法については下記の通りです。

※プロビジョニング機能については、Lifecycle Management(LCM)ライセンスが必要となりますので、ご注意ください。

＜Okta側の設定内容（グループ管理）＞

• Okta管理者画面へログイン
• Google Workspaceの設定画面へ遷移
  ※Google WorkspaceとOktaはSMAL/プロビジョニング連携完了済みの想定です。
• 「Assign」タブへ遷移し、ユーザもしくはグループ単位でアサインを実施
• アサイン内容の「Organizational unit」にて、該当の組織部門を選択

• 他アサイン内容も任意で設定し、アサイン完了

上記設定で、任意のユーザへ組織部門の割り当てが可能となり、結果、Google Workspaceへ直接ログインできるようになります。

＜Okta側の設定内容（グループ管理）＞

• Okta管理者画面へログイン
• Okta側にGoogle Workspaceへの連携用グループを作成
  ※Okta側とGoogle Workspace側のグループ名が異なる場合、Okta側で上書きが発生するので、同一名で作成することを推奨します。
• Google Workspaceの設定画面へ遷移
  ※Google WorkspaceとOktaはSMAL/プロビジョニング連携完了済みの想定です。
• 「Push Groups」タブへ遷移し、Okta側とGoogle Workspace側のグループを同期(Link Group)

上記設定で、Okta側で作成したグループに所属のユーザが同期したGoogle Workspace側のグループへ所属となり、結果、Google Workspaceへ直接ログインできるようになります。

Okta Workflowsを用いた自動化

上記方法で、Google WorkspaceのID/パスワードで直接ログイン可能となったユーザを、Okta上で管理することができます。さらに、初回ログイン完了後に所属グループから除外することで、Okta経由のログインへと変更することが可能です。

手動で所属グループから対象ユーザのみを除外することはできますが、ユーザが初回ログインを完了しているかを確認し、完了しているユーザのみをグループから除外するのは工数がかかります。また、対象ユーザ数が多い場合は、オペレーションミスが発生することが懸念されます。実際にオペレータの方も単純作業であり、「面倒」な作業だと思ってしまうことでしょう。

この「面倒」な作業を、Okta Workflows機能を用いることで自動化することができます。Okta Workflowsは複雑なカスタムコードなしで様々なプロセスを自動化でき、操作はGUIベースとなるため、簡単に設定できます。

※Okta Workflows機能については、5フローまでは無料で利用できますが、それ以上はWorkflows(Light/Medium/Unlimited)ライセンスが必要となりますので、ご注意ください。

Oktaへの初回ログインが完了したユーザ(ステータスが”Active”)を対象グループから除外する場合のフローについては下記の通りです。

＜簡略図＞

＜実際のフロー内容＞

Main Flow

Help Flow

まとめ

Google WorkspaceとOktaをSAML連携している場合に、任意のユーザのみOktaを経由せずに、Google Workspace側のID/パスワードで直接ログインができるようにする方法を、Google Workspace側の設定だけでなく、Oktaでのユーザ管理方法及びOkta Workflows機能で自動化する方法をご紹介しました。

Google WorkspaceとOktaをSAML連携する際の懸念点は払拭されましたでしょうか。

特にOkta Workflows機能で自動化することで、運用工数とオペレーションミスの削減に貢献できると考えています。今回ご紹介したのは、Okta Workflowsの使用例の一つですが、他にも様々な課題を解決できるポテンシャルを持った機能です。

OktaとGoogle Workspaceの連携や他SaaSとの連携、Okta Workflows機能についてご興味がある方は、是非一度マクニカにご相談ください。