OktaユーザーをGoogle Workspaceのメーリングリストに自動的に追加してみた

こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です。

はじめに

ネクストモードではID統合管理(IDaaS）のOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています。

ネクストモードではOktaからGoogle Workspaceにユーザーの自動プロビジョニングをしていますが、メーリングリスト（Googleグループ）には今まで手動で追加していました。 多くのメーリングリストを管理していないのでユーザーを作成してから手動で追加しても大して苦ではなかったのですが、ユーザーが増えてからちょっとだけ辛さを感じはじめました。

そこで、今回はGoogle WorkspaceにOktaからユーザーをプロビジョニングする際に自動的にメーリングリストに追加する検証をしたのでご紹介します。

手順

手順は下記の通りです。

1. Google WorkspaceのOkta連携
2. Googleグループ用Oktaグループの作成
3. Googleグループ用Oktaグループへユーザー割当
4. Google WorkspaceへOkta Groupのプッシュ

やってみた

Google WorkspaceのOkta連携

まずはGoogle WorkspaceとのSSOとプロビジョニングの設定をしておきます。詳細はOkta公式ドキュメントをご覧ください。

Google Workspaceにログインするユーザーを割り当てます。

Googleグループ用Oktaグループの作成

※一回失敗する流れで書いてます。失敗したくない方はOktaグループ名をアルファベットにしましょう。

次にGoogleグループ用に個別にOktaグループを作成します。アプリにユーザーを割り当てる際にOktaグループで割り当てる場合、Googleグループ用のOktaグループは別に作成する必要があります。

Googleグループ用Oktaグループへユーザー割当

作成したOktaグループにユーザーを割り当てます。Assign peopleをクリックします。

ユーザーを検索して+をクリックし、Doneを押します。

以上でGoogleグループ用のOktaグループの準備は完了です。

Google WorkspaceへOkta Groupのプッシュ

次に作成したOktaグループをGoogle Workspaceにプッシュし、同期させます。

Okta管理画面のApplication ->　Google Workspace -> Push Groups -> Find groups by nameを選択します。

入力欄に先程作成したグループ名を入力すると候補が出てきますのでクリックします。

次にSaveをクリックします。

失敗しました。

Oktaグループ名はGoogleグループではメールアドレスの一部（ユーザー名）になるため、日本語が含まれていると失敗してしまいます。 戻って、Oktaグループ名を修正します。

Oktaグループ名を修正してリトライ

対象のOktaグループのAction -> Editを押して、グループ名をアルファベットに変更します。

SaaS部からsaas-divに変更しました。

それではPush Groupsの画面に戻って再チャレンジしてみましょう。

今度は無事成功しました。

Google Workspaceの管理画面からGoogleグループを見てみるとOktaグループと同じ名前、メールアドレスのグループが作られていることが確認できました。

運用方法（イメージ）

設定が完了したので、実際の運用方法を見てみましょう。

入退社

社員が入社した際にOktaにユーザーを追加するケースで考えてみましょう。

Okta管理画面でユーザー追加時にGroups選択項目に含めたいGoogleグループ用のOktaグループを入れます。

これでGoogle Workspace側は自動的に追従してくれます。

異動

次に社員が部署間異動するケースを考えてみます。

部署間異動ではOktaグループの割当し直しで対応可能です。今回はイメージとしてsaas-divというグループから外してみます。

こちらも同様にGoogle Workspace側は自動的に追従します。

余談

イメージで記載した運用方法は結局手動対応があり、まだまだイケてないですが、Okta Workflowsを使ってワークフローを組んだり、HRシステムと連携させることでより運用コストを減らしていくことができるでしょう。

注意点

本記事内でも記載してますが、Group pushの際、Oktaグループはメールアドレスのユーザー名として使われるため、日本語は利用できません。また、Okta App（Google Workspace)に割り当てるOktaグループとPushするOktaグループは別にしておく必要があります。

参考：Okta Group Pushの前提条件

さいごに

ネクストモードではまだ直面していませんが社員が増えたり部署間異動が多くなってくると、見えない運用コストが増えてきます。少しずつ早めに解消していくためにもIDaaS大事だなって実感しました。