Netskopeのそのワンクリックを無くしたかった話

Netskopeのそのワンクリックを無くしたかった話

Non-Golden Release BuildsなNetskope Clientを用いたIdPモードによるユーザーのデプロイ手順を記載しています。
#Okta
#SaaS
#ネクストモード
#SAML
hagi @ nextmode

hagi @ nextmode

facebook logohatena logotwitter logo
Clock Icon2021.06.17 04:02

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

※よろしければ2023年にリライトされた記事もご参考ください。(外部サイトに移動します)

はじめに

毎日完璧なルーティンで調子を保つ人がいるとして、その逆の人もいると思います。

わたしです。

 

 

楽をしたい。

楽をしたい。

毎日ちょっとずつ工夫しながら多大な苦労を永年はたいてでも楽をしたい。

そんな方へお話をします。

オンボーディングについて

組織に出入りするメンバーの入退場に伴って、システム側の稼働が多少発生します。

仮に入場者対応をした場合、下記のようなオンボーディング作業が発生します。

    • 法的な従業員登録
    • 幾多のSaaSアカウント作成
    • オンボーディング手順の案内
    • 役職者との1on1

細かい話は置いておいて、システム側が介入するのは主にSaaSアカウントの払い出し部分となるのですが、

そのうち、Netskopeのオンボーディングについて、アカウント払い出し自体はOktaのProvisioningで一撃です。それは良いんです。とても助かっています。

今日はそのお話はしません。

 

本題はここからですが、導入初期の払い出し側のルーティンについて、とりあえず下記の絵面を見ながら想像してみてください。

  • OktaにログインしてPeopleをインストール(語弊)
  • Netskope Admin ConsoleにSSOログイン
  • Settingsに移動
  • Security Cloud Platform → Usersに遷移
  • 入場者のメアドを検索してSend Invitationをクリック
  • 入場者を検索してSend Invitationをクリック
  • 入場者を検索してSend Invitationをクリック
  • 入場者を検索してSend Invitationをクリック

…(入場者分繰り返す)

 

何をしているのかというと、各ユーザーのメールアドレス宛に最初のセットアップファイルを送りつけているのですが、これがツライです。

アカウント払い出しを一度実施するならまだしも、各ユーザーをアクティベートさせるためにいちいち目標をセンターに入れてスイッチ、目標をセンターに入れてスイッチ、・・・

嫌ですよね?DRYじゃないですよね?気持ち悪いですよね?

あるじゃん

そこで、良いのあったので紹介します。

IdPモードによるインストールです。

これはユーザーに最適化されたイメージを配布するのではなく、インストール後にOktaログインを介すことで、どのユーザーにも汎用的に適用できるイメージを活用した導入ケースです。

カンタンにかいつまむと、各ユーザーにテナント接続作業を担わせて、管理者が何もしなくてよくなるものです。(語弊)

管理者ゼロタッチするためならなんぼ苦労かかっても良いですからね。セットアップしましょうね。

セットアップ

IdPモードでEnrollするためには、NetskopeからSAML認証を仕掛けるためのForward Proxyを建てる必要があります。

設定はOktaとNetskope双方に行います。

  • 管理ページからApplication→Applications→Create App Integrationへ遷移します。
  • SAML2.0を選択します。

  • 任意設定してNextをクリック

  • 下記のような画面になりましたら、ちょっと新規タブを開いてみてください。

  • そのままNetskope Admin Consoleへ。

  • Security Cloud Platform → Forward Proxy → SAML - Forward Proxyと進みます。

Oktaに画面を戻して、

  • SAML Entity ID → OktaのAudience URI (SP Entity ID)へ
  • SAML ACS URL → OktaのSingle sign on URLへ

  • 次のページで何か出ますか?まあ一旦Finish押しましょ。
  • 今度はNetskope側へパラメタをお返しします。View Instructiionsをクリックしてください。

  • Netskope側でNew Accountをクリックし、下記の通り、対応したパラメタを入力してください。

  • 終わったら今度はAuthenticationへ移動しましょう。

  • ENABLE AUTHENTICATIONをクリック

  • 先程作成したプロファイルを選択してSAVEしましょう。

  • 成功したらこう出るはずです。

オンボーディングテスト

準備万端です。Johnくんのオンボーディングを見ててください。

  • Netskope ClientをDLしてセットアップを開始

  • インストールは難なく完了。Tenantの入力を求められるため、自社のテナントを入力

  • ここでOktaのログイン画面に飛ばされるため、ログインします。

  • Enrollが働いて完了です。

  • いつものアイコン(色付きはEnableの証)が見えますね!

  • ちなみに権限を渡せば、Unenrollしてマルチユーザーで端末を使い回すこともできます。

※コマンド一発でインストール完了するオプションもありますが、ユーザーにコマンド打たせるのはナンセンスなので普通のセットアップをお見せしています。

今、どこからパッケージを入手した?

Netskope側で、Send Invitationと同等のパッケージを入手可能な固定リンクを用意しています。

※参照先が関係者限りのサイトとなっていますので、Netskopeにご興味のある方はネクストモードへご連絡ください。

実稼働

こんな管理者よがりはいかんです。 全体の稼働を試算してみましょ。(画面数換算)

手でInvitaionした場合…Netskope Admin Consoleへログイン + Settings + Users +(ユーザーを検索→Send Invitationクリック)* 入場者

Enroll任せた場合…(テナント入力)* 入場者

どれだけ入場者が駆け込んできても、IdPインストールのほうが掛かる全体工数が少ないということです!

まとめない

〜管理者がゼロタッチっていうこと〜

違う、そうじゃない。

顧客が本当にほしかったもの、それは、管理者が鼻ほじってる間にオンボーディングが完結するシステムではないのです。

ユーザーがほじりたいんですよね?鼻。

それはMAM(Mobile Application Management)ではないか。

こんなせせこましいことしてないで、自動化に必要なコストをかけて、爆速で業務するためにMAMを導入しましょうね。

 

MAMのお話はまた今度。

この記事をシェアする

facebook logohatena logotwitter logo

関連記事

WIC(Okta)入門〜WICの魅力とトライアル環境作成〜

WIC(Okta)入門〜WICの魅力とトライアル環境作成〜

User avatar
きだぱん
2024.07.07 14:14
【セッションレポート】高度なセキュリティの アプリログイン機能を 簡単に実現する方法とは #AWSSummit

【セッションレポート】高度なセキュリティの アプリログイン機能を 簡単に実現する方法とは #AWSSummit

User avatar
きだぱん
2024.06.28 08:05
Auth0のアプリケーションで予期しないログアウトが発生する問題の原因と対策

Auth0のアプリケーションで予期しないログアウトが発生する問題の原因と対策

User avatar
新屋司
2024.05.08 06:02
Auth0ログの外部連携3選(DatadogとNew RelicとAmazon CloudWatch Logs)

Auth0ログの外部連携3選(DatadogとNew RelicとAmazon CloudWatch Logs)

User avatar
新屋司
2024.04.29 23:55
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.