これまでのOkta関連ブログをさらりと見直してみた

Oktaをこれから始めようとしているそこのアナタに届けば幸いです!
2022.01.31

はじめに

こんにちは!ネクストモード株式会社のSaaS部hagiです。
ようやく2022年の実感が湧いてきました。


おかげさまで私も新年を迎えまして、おかげさまでOktaの引き合いも有り難くいただいております。
そこで、これまで投稿してきたOkta関連記事に関して、Okta Identity Engineでアップデートのあった部分あたりをさらりとピックアップしてお知らせしようと思います。
このブログのモチベの源泉は、古い情報を掴ませてしまっては申し訳ないと常々思っていた気持ちです!


なお、今回の記事は比較的まじめになります。仕事の息抜きにされている方にはご期待に添えず大変心苦しいばかりです。
私個人として今回の事態を厳粛に受け止め、再発防止に努めるとともに、安定したサービスを供給できるよう日々取り組んで参ります。

Okta Identity Engineとは

まず触れておかなければならない事項についてです。
Okta Identity Engineは、Oktaの新しいプラットフォームです。
新しいと言っても2021年の秋口に登場しているもので、これからOktaを触る方には新しいも古いも関係ないと思いますので詳細割愛しますが、 認証アプリのOkta VerifyでDevice Registできるようになったり、パスワードが省略できるようになったり、デバイストラストで使う証明書をセルフホストできるようになったり……して、使い勝手が良くなっています。


ちなみに以前の環境はClassic Engineと呼ばれます。Classic Engineは、現在置き去りにされており、Okta Identity Engineと切り離された状態で運用を続けています。
今後は時期未定ですが、Identity Engineへ移行となる見込みがあります。


こういった事情から、現在公開されているブログ記事(Classic Engineを元にしている)は、一部参考にならない記載が見られます。この際見直していこうと思った次第です。
それでは、始めていきたいと思います。

OktaのMFAにWindows Hello/Touch IDを追加してみた

こちらは社内環境で利用できるMFA手段を追加したお話です。

アップデート箇所①MFA

リンクは変わっていないので内容はさらりと流しますが、Okta Identity Engineでは以下のMFAがトライアル環境で制限されています。

  • WebAuthn
  • Voice Call authentication
  • SMS authentication(アメリカ・カナダのみ)

特にWebAuthnは、Windows Hello/Touch IDの恩恵が受けられる機能のことですが、運用上大変便利なこと間違いなしなので、ぜひご相談ください!善処します。
対応ブラウザはこちらから。

また、設定の動線が変更になります。
SecurityMultifactor
から
SecurityAuthenticators
です。

何でもかんでもOktaから入れるようにしてみた

こちらは初めてまじめに書いた記事です。

アップデート箇所②セレクターコピーおじさん

この記事のアップデートは既に行われており、Oktaのアップデートと無関係ではありますが、念の為記載しておきます。セレクターコピーおじさんのところです。
具体的には、開発ツールでコンテンツをマウスで撫でて探す必要必要なく、フォームを右クリック→検証 をクリックすることで、一発でセレクターを指定できますといったアップデートです。

OktaのメールアドレスがSaaS側と違ったから変換してシングルサインオンしてみた

こちらはSaaSおじさんkusuminの記事です。

変更候補を探してみましたが、見つかりませんでした。ぐぬぬ。
強いて言えば物語の中盤でSteve Adamsというユーザーを入力確認していますが、後のページでJohn Smithにすり変わっているという事実です。(見逃していいところです)

Active DirectoryごしのAmazon WorkSpacesにOkta MFAを追加してみた

こちらの記事は、Active DirectoryとAmazon Workspacesをお持ちの環境にマッチしたユースケースです。

アップデート箇所③Okta RADIUS Server Agent

この記事のアップデートは、エージェントそのものです。 ホストOS上にエージェントを入れる形である以上、定期的なエージェント更新作業が発生し得ます。 Okta社から提供される更新情報をトラックし続ける必要があります。
インストールは上書きで問題ないですが、サービス影響は考慮する必要があります。
前回記事がVer.2.15.1ですが、現在はVer.2.17.2まで上がっています。
この早さは、脆弱性対応の早さと取るべきでしょうが、運用者にとってはツライです。
できればこういったこと以外に労力を割いていくためにも、SaaSに任せられるところはある程度思い切りが必要なのかなと、個人的には思っています。

OktaユーザーをGoogle Workspaceのメーリングリストに自動的に追加してみた

こちらの記事の経緯を簡単に要約すると、オンボーディングで管理者が楽したかったお話です。

変更点が見当たらないので代わりに見どころを探します。
見どころはズバリ「失敗しました」のクダリです。
余韻で笑っちゃうので後半ほぼ頭に入ってこないですね!(個人のイメージです)。

まとめ

蓋を開けてみたら案外更新箇所が見つからなかったので良かったです。
今回の記事外でもClassic Engine→Identity Engineの変更箇所はいくつかありますが、これからOktaを導入される方にはあまり関係ないので、そういう歴史があったんだな、くらいに思っていただければと思います。
機能別のライセンス絡みであったり、誰得情報について需要があればまた書きます。

おまけ

こちらの記事公開後にアドバイスをくださった先生の声は有り難く受け取りました!