プロビジョニングの必要性

OktaとSaaSが連携し、自動でアカウントのライフサイクル管理をする機能をプロビジョニングといいます。

クラウドサービスの普及に伴い、サービスごとにユーザーの状態（入社・異動・退職）に応じて、アカウントの作成・変更・廃止や、権限の設定を行う必要が出てきました。Oktaのプロビジョニング機能を利用すれば、Oktaのユーザー情報・属性を管理するだけで、自社のSaaSのIDの状態を一元的に管理することができます。

SCIM非対応SaaSへのプロビジョニング

一般的に、SaaSへのプロビジョニングを行う際は、「SCIM」というプロトコルを利用します。しかしながら、このSCIMに対応していないSaaSはまだまだ多く存在し、SCIM非対応SaaSを利用しているために、プロビジョニングによるID管理の自動化を諦めてしまうケースがあります。皆さんがご利用されているSaaSのなかにも、SCIM非対応のものがあるのではないでしょうか。

そんなSaaSに対してのプロビジョニングを実現するのが、Okta Workflowsです。Okta Workflowsでは、SaaSのAPIを利用してリクエストを送ることが可能なので、SaaS側にユーザー作成/更新/無効化/削除等のAPIさえあれば、どんなSaaSに対してもID管理を自動化できるのです。更に、Microsoft Office 365やGoogle, Boxなど多くの企業で利用されている代表的なSaaSについては、事前に用意された各SaaS専用のカード(下図参照)を使用することで、APIリクエストに必要なヘッダーやボディの情報を手入力で設定する必要もないため、非常に簡単に設定を進めることができます。

Boxユーザー作成フロー例

Okta Workflowsを利用することで、今までプロビジョニングを諦めていたSaaSについても、自動化の可能性を広げられるのです！

ID/アクセス権限棚卸の課題

企業では様々なSaaSを利用していますが、そのなかでも、グループ会社や子会社を持っている企業では、本社ユーザーだけが利用できるSaaSや子会社ユーザーだけが利用できるSaaSも存在するケースがあります。また、一つの会社の中でも、部署や職位ごとに利用できるSaaSが異なるケースも多く存在します。

そのような場合において、例えば、異動や出向が発生したユーザーに対して、元々所属していた部署や会社のユーザーのみが利用できるSaaSへのアクセス権限が付与されたままだと、不適切なアクセス権限から不正なアプリ利用が発生してしまうリスクがあります。

しかし、各部署・会社ごとに分かれているSaaSのアクセス権限を、異動や出向が発生した際に毎回手動で棚卸するのは、非常に工数がかかりますし、人的ミスが発生するかもしれません。

SaaSアクセス権限棚卸を管理者へ自動通知

Okta Workflowsを使えば、Okta, SaaSそれぞれのAPIを利用することで、「Okta側で対象SaaSへのアクセス権限が付与されているユーザーとそのSaaSへのアクセス状況」、「SaaS側に存在するユーザー」を定期的にチェックし、「一定期間(指定可能)アクセスしていないユーザー」=「アクセス権限の棚卸が必要なユーザー」を抽出することができます。

さらに、メールやMicrosoft teamsやSlackなどのコミュニケーションツールと連携し、管理者に対して、抽出した「アクセス権限の棚卸が必要なユーザー」を通知することができるため、管理者はその通知内容にしたがって棚卸を行うことで、工数・人的ミスの削減につながります。

今までIDの棚卸業務に悩まされてきた方は、これを機に棚卸の効率化を検討してみてはいかがでしょうか。

※Oktaでは、「Okta Identity Governance」のなかの「Access Certification」というID・権限の棚卸をさらに効率化する機能もあります。詳細について、ご興味がある方は、ぜひ下記ブログも併せてご参照ください。

https://www.macnica.co.jp/business/security/manufacturers/okta/access_certification.html

デバイス制御の重要性

ここでご紹介する「デバイス制御」とは、組織として許可したデバイスからのみ認証を許可することを指します。昨今セキュリティの観点から、注目されているデバイス制御ですが、なぜこのような制御が重要なのでしょうか。

理由としては、主に下記の2つが挙げられます。

デバイス制御のハードル

デバイス制御の重要性は分かりましたが、では、この認証方式はどの企業でも簡単に導入できるものでしょうか？

一般的なデバイス制御では、証明書を対象のデバイスに配布し、認証時にその証明書をチェックする形で実装されます。この場合、「許可デバイスをデバイス管理ソリューションで管理している」かつ、「デバイスに証明書を配布する」サービスが必要となります。

しかしながら、全ての企業がMDMのようなデバイス管理ソリューションを導入しているわけではないため、まずはそのようなサービスの導入を検討しなければならず、結果的に諦めてしまうケースが多くあります。デバイス認証制御は重要性が高い一方、デバイス管理ソリューションを導入していない企業にとっては、ハードルの高い認証方式なのです。

MDM/証明書不要のデバイス認証制御

そんなハードルの高い認証方式ですが、Okta Workflowsを使えば、MDM/証明書なしでデバイス認証制御を実現できる方法があります。

Oktaでは、アクセスポリシーとして、組織のOktaテナントに登録されたデバイスからのみアクセスを許可することができます。

そして、Okta Workflowsでは、OktaのAPI使って、Okta上のデバイスの登録状態を管理することができるため、許可されていないデバイスの登録状態を制御することで、結果的にMDMや証明書を使わなくても、「許可されたデバイスからのみアクセスできる」デバイス認証制御が可能になるのです。

※デバイスのOSによっては、MDMや証明書が必要となります。上記の方法は、WindowsやMacOSで利用可能です。

※Oktaには、任意のデバイス管理ソリューションと連携して、証明書を使ってデバイス制御を行う機能(デバイストラスト)もあります。