“デジタルワークプレイス”をテーマに既存のシステムにとらわれない「これからのシステムの在り方」を皆で考え、学び、実践していくコミュニティとして、これまで回を重ねてきた「Box Japan Cloud Connections(BJCC)」。2020年12月9日には、節目となる第10回目を迎えることができました。
そこで今回からは「もったいない道場 〜SaaSを使いこなす具体的なコツを教えます〜」と題して、導入したものの「うまく使いこなせていない」「その使い方はもったいない」というSaaSサービスを使いこなすコツについて、何回かに分けて紹介していきます。
「もったない道場」の第1回目はIDaaSのトップランナー「Okta」
第1回目となる今回は、前回のMeetupにも登場していただいたIDaaSサービス「Okta」を取り上げました。
Oktaは、ID管理やユーザー認証の機能をクラウドサービスとして提供する「IDaaS(ID as a Service)」の代表的なサービスとして、現在、世界中でユーザー数を伸ばしています。サービスの開発、提供元は米国サンフランシスコに本社を構えるOkta社で、2020年9月には日本法人のOkta Japan株式会社も設立され、今後は日本国内においてもますます存在感が高まってくると予想されています。
前回は、Okta Japanの代表取締役社長を務める渡邉崇氏と、シニアソリューションエンジニアの井坂源樹氏をお迎えして、Oktaが生まれた背景やその導入メリットなど、基本的な事柄を紹介していただきました。
今回は、前回に引き続き井坂氏をお迎えして、新たにスタートした「もったいない道場」シリーズの栄えある第1回として、Oktaをより便利に使いこなすためのコツを紹介していただくとともに、視聴者からの質問に答えていただきました。
SSOやID管理の機能をクラウド環境上から提供する
まずは前回のおさらいとして、Oktaの概要について井坂氏に紹介していただきました。
「アプリケーションやサービスを安全に利用するには、ユーザーの本人確認を行う『認証』と、ユーザーが実行できる処理を規定する『認可』を正しく行う必要があります。しかし、アプリケーションやサービスごとに、個別に認証と認可を行っていては、ユーザーはアプリケーションやサービスを利用するたびにID/パスワードを入力しなくてはならず、また管理者もそれぞれに対して個別にアカウントやアクセス権の管理を行う必要が出てきます」(井坂氏)
こうした課題を解決するために、OktaをはじめとするIDaaSサービスは、複数のアプリケーションやサービスの認証と認可をクラウド環境上で集中管理する機能を提供します。
ユーザーはIDaaSに一度ログインを行えば、その後はアプリケーションやサービスごとにいちいちログインせずともアクセスできるようになります。
管理者はIDaaS環境上でユーザーの認証情報やアクセス権などを集中管理できるため、アプリケーションやサービスごとに個別にアカウントを追加、削除したりアクセス権限を設定する必要がなくなります。
同様の機能は、これまでもいわゆるSSO(シングルサインオン)やID管理の製品を提供してきましたが、これらはオンプレミスのアプリケーションやサービスを前提としており、インターネット上のクラウドサービスと連携するのは容易ではありませんでした。
それに対してOktaに代表されるIDaaSサービスは、オンプレミスではなくクラウド環境上で認証やアクセス制御を行うため、複数の異なるクラウドサービスにまたがるSSOも簡単に実現できます。
BoxとのSSOも簡単な設定作業のみで容易に実現可能
なお、Oktaは、世界中の6500以上のSaaSサービスとのSSOを標準でサポートしています。当然、Boxとの連携もサポートしており、極めて簡単な設定のみでBoxとのSSOを実現できます。実際に井坂氏は、BoxとOktaを連携させてSSOを実現するデモを披露しましたが、Okta側で生成したメタデータをエクスポートし、それをBoxの管理画面上からアップロードするだけで簡単に両製品の連携が実現することが分かります。
Oktaはまた、多要素認証にも対応しているため、Boxのセキュリティを強化するために多要素認証を導入したい場合にも容易に対応できます。かつ、ユーザーがセキュアな環境からアクセスしている場合はパスワードレス認証を許可したり、逆に安全でない国や地域からのアクセスは無条件に拒否するといったように、アクセス条件に応じて認証条件を柔軟に変更する「アダプティブMFA」の機能により、強固なセキュリティとユーザーの利便性を高いレベルで両立できます。
ただし、井坂氏によれば、Oktaが提供する機能は単にSSOだけには留まらないといいます。
「多くの方は、IDaaSに対して『SSOをクラウド上で実現するもの』というイメージを持っているかと思います。それは決して間違いではないのですが、OktaはSSOだけでなく、IDの生成から更新、削除に至るまでのライフサイクル管理の機能も充実しています。実はこのIDライフサイクル管理機能があるからこそSSOも実現できているので、ぜひこちらの機能にも着目していただければと思います」(井坂氏)
Oktaでどこまで何ができるのか?
前回Meetupの際に視聴者から寄せられた質問も、SSOそのものの機能より、むしろその前提となるID管理の機能についてのものが多くを占めました。そこで今回は、視聴者から寄せられた質問に井坂氏が答える形で、Oktaの代表的なID管理機能を幾つか紹介してもらいました。
Oktaはアカウントマスタになり得るのか?
企業の社内システムでは通常、従業員情報を管理する人事データベースや各種のアカウント情報、そして認証情報を集中管理するActive Directoryなど、複数のデータベースに渡ってアカウント情報が管理されています。これら散在するアカウント情報を「Oktaを使って集約し、マスタ管理できないか?」という質問が多く寄せられました。
この質問に対する井坂氏の答えは「Yes」です。
「人事アプリケーションのデータベースやCSVなど、認証機能を持たないマスタと連携してアカウント情報やID情報をOktaに取り込むことができます。この場合、Oktaで独自にパスワード情報を管理して認証を行うことになります。
一方、Active Directoryのように認証機能を持つマスタと連携する場合は、Active Directory側に認証を替わりに行ってもらうことができます。このように、さまざまなマスタを集約しSSOを実現できるようになっています」
Active Directoryのアカウント設定をSaaSサービスに反映できないか?
Active DirectoryとOktaを連携させた際、例えば「Active Directoryで『Boxユーザーグループ』に所属しているユーザーは、自動的にBoxのアカウントを作成する」「Active Directoryで『Salesグループ』に所属しているユーザーは、同じくBoxでも『Salesグループ』に所属させたい」といったように、Active Directoryのアカウント設定をそのままSaaSサービス上の設定に自動的に反映できればとても便利です。
Oktaはこうしたニーズに対して、「Okta AD Agent」という技術で応えています。具体的には、Active Directoryの内容をOkta側にインポートすると、その変更内容が連携先のSaaSサービス側にもプロビジョニングされ、自動的にアカウントが作成されたりアカウント設定が更新されます。
井坂氏は実際にデモで、Active Directory上でユーザーを新規作成してSalesグループに割り当て、その内容をOktaにインポートすると、連携しているBox側でも自動的に対応するアカウントが作成され、かつSalesフォルダへのアクセス権が付与される様子を実行して見せてくれました。
従業員の退職時のアカウント削除の自動化は可能か?
ID管理で最もやっかいな作業の1つに、「従業員が退職、異動した際のアカウントの削除、無効化」があります。特に複数のSaaSサービス上でアカウントが個別に管理されている場合、それらを人手でくまなく削除、無効化するのは容易ではなく、どうしても抜け、漏れが発生しやすくなります。
これを防ぐために、Oktaを使って「Active Directory上でアカウントを削除、無効化したら、自動的にSaaS上でも削除、無効化されるようにできないか?」という質問が多く寄せられました。
結論から言うと、これも可能です。各SaaSサービスが外部連携用に公開しているAPIの仕様にもよるのですが、例えばBoxであればOktaを介してActive Directoryと連携することによって、Active Directory上でアカウントが削除、無効化されたらそれに応じて自動的にBox上のアカウントを削除、無効化できます。
さらにはOktaが提供する「Workflows」という機能を使えば、アカウント削除、無効化などのイベントをトリガにして、さまざまな処理を自動実行できるようになります。
例えばアカウントが削除、無効化された際に、そのユーザーに割り当てられていたBoxのフォルダーを上長のアカウントに移管する処理が自動実行されるよう設定できます。またこうした一連の処理は、Workflowsが提供するGUIツールを使ってノンコーディングで簡単に実装できるようになっています。
無償で利用できる特別プログラムも
Oktaでは現在、「Okta Cloud Connect」という無償プログラムを提供しており、Boxにも適用できます。接続先は1つのクラウドサービス(例えばBox)に限定され、かつ一部の機能に制約が掛かりますが、多要素認証も含めた基本的な認証機能や、先ほど紹介したActive Directory連携機能など、一通りの機能は利用できるようになっています。
「弊社のWebサイト上から申請して簡単に利用を始められますし、スモールスタート後にほかの接続先や機能も使いたくなったら、別途有償でオプション機能を追加することもできますので、ぜひ気軽に試していただければと思います」(井坂氏)
なお、次回の「もったいない道場」は、今や多くの企業が社内のコミュニケーションツールとして採用している「Slack」を取り上げます。一般的にはチャットツールとして広く知られるSlackですが、実はチャットツールだけに留まらない大きな可能性を秘めた製品なのです。次回はこのあたりについて掘り下げてみたいと思います。
第3回はBox、そして第4回はZoomを取り上げます。皆様の情報収集や疑問の解決に是非お役立てください。もちろんBJCCコミュニティへの参加も大歓迎です。
【執筆:吉村哲樹】
次世代のシステムを考えるコミュニティ
Box Japan Cloud Connectionsへの参加はこちら
Box Japan Cloud Connections (BJCC) は、DX時代にあった新しい企業システムのあり方を考えるBox Japanが運営するコミュニティです。
新しい働き方、DXを実現するデジタルワークプレイスにご興味のあるかたは、どなたでもご参加いただけます。
参加登録フォームよりユーザー登録頂くことで、コミュニティのメンバーとなり、公開資料が閲覧できるようになる他、BJCCのSlackワークプレイスに参加もできるようになり、Slack上で自由に議論することもできます。ぜひ、ご登録ください。
