Okta WIC入門 〜ユーザー管理からグループ設定まで〜
2024.12.24おはようございます( ◜◡◝ )
ゲームソリューション部/業務効率化ソリューション部のきだぱんです。
本ブログはClassmethod ゲーソル・ギョーソル Advent Calendar 2024の24日目のブログとなります!メリクリ!
ゲーソル、ギョーソルが気になる方は以下のブログも併せてご覧下さい!
さて今回はOkta WICです!
この記事では、基本的なユーザー管理機能について解説します。
Okta Workforce Identity Cloud (WIC)とは
そもそもOktaではCustomer Identity CloudとWorkforce Identity Cloudの二種類のサービスを提供しています。
そのうちの一つ、Workforce Identity Cloud(※以下WIC)は、企業が従業員やパートナーのアイデンティティ管理を効率的に行い、セキュリティを強化しつつ、優れたユーザーエクスペリエンスを提供するための包括的なソリューションです。
従業員やパートナー向けのアイデンティティおよびアクセス管理ソリューションで、シングルサインオン(SSO)や多要素認証(MFA)を提供し、内部ユーザーのセキュリティと効率を向上させます。
ディレクトリ統合や自動プロビジョニング機能も備え、IT管理を簡素化します。これにより、企業は内部のアイデンティティ管理を最適化し、セキュリティリスクを軽減できます。
Okta Workforce Identity Cloud (WIC) は、企業が従業員のデジタルアイデンティティを管理し、セキュリティを確保するためのクラウドベースのソリューションです。
主な機能
- シングルサインオン (SSO):
ユーザーが一度のログインで複数のアプリケーションやサービスにアクセスできるようにする機能です。これにより、ユーザー体験が向上し、パスワード管理の複雑さが軽減されます。 - 多要素認証 (MFA):
ユーザーがログインする際に、パスワードに加えて追加の認証要素(例: SMSコード、認証アプリ、バイオメトリクスなど)を要求することで、セキュリティを強化します。 - ユーザープロビジョニング:
新しい従業員が入社した際に、自動的に必要なアカウントやアクセス権を設定する機能です。また、退社時には迅速にアクセス権を取り消すことができます。 - ディレクトリ統合:
既存のディレクトリサービス(例: Active Directory、LDAPなど)と統合し、一元的にユーザー管理を行うことができます。 - アクセス管理:
ユーザーごとに異なるアクセス権を設定し、特定のアプリケーションやデータへのアクセスを制御します。 - セキュリティポリシーの設定:
パスワードポリシーやセッションタイムアウトなど、セキュリティに関するポリシーをカスタマイズして設定できます。
※上記は、一部の機能になります。
多数のアプリケーションやサービスと統合が可能なため、迅速に導入することができます。
Oktaでのユーザー管理機能について
ユーザー管理の基本
Oktaでは、組織内のユーザー情報を簡単に管理することができます。
主な管理作業は「People(ユーザー)」ページで行うことができます。
Okta管理コンソールにログイン -> メニューから「Directory」を選択 -> 「People(ユーザー)」をクリック
できること
- 新規ユーザーの追加
- パスワードのリセット
- 多要素認証の設定リセット
- その他のユーザー管理操作
主な機能
- ユーザー一覧の表示(最大200名まで)
- 25件ごとの一覧表示による見やすい画面構成
- ステータスによるユーザーのフィルタリング機能
Oktaの管理コンソールを使えば、大規模な組織でも効率的にユーザー管理を行うことができます。直感的なインターフェースで、簡単に操作できる設計になっています。
ユーザの追加
-
管理コンソールで、Directory > Peopleに移動
-
「Add Person(ユーザーの追加)」をクリック
-
ユーザータイプリストからユーザータイプを選択するか、デフォルトのままにします
参照:Custom user types in Universal Directory -
以下のフィールドに必要事項を入力します
- 名(First name):ユーザーの名を入力
- 姓(Last name):ユーザーの姓を入力
- ユーザー名(Username):メール形式でユーザー名を入力
- 主要メールアドレス(Primary email):ユーザー名と異なる場合、ユーザーの主要メールアドレスを入力
パスワードの設定方法
パスワード設定には2つの方法があります:
-
ユーザー自身による設定
- ユーザーに設定用メールを送信
-
管理者による設定
- 管理者が初期パスワードを設定
- 初回ログイン時の変更を強制可能
グループ管理機能
企業システムの管理者として、多数のユーザーのアクセス権限を個別に管理することは大変な作業です。
Oktaのグループ管理機能を使えば、この作業を大幅に効率化できます。
グループ管理とは?
グループ管理とは、共通の権限を持つユーザーをまとめて管理する方法です。
例えば:
- 営業部門のメンバーを「営業グループ」として管理
- 経理部門のメンバーを「経理グループ」として管理
主なメリット
- 管理工数の削減
- 人的ミスの防止
- 権限変更の一括適用
- セキュリティリスクの低減
また、Oktaの管理画面では、直感的なグループ検索が可能です。
- グループ名での検索
- 部分一致検索にも対応
- 効率的なグループ管理をサポート
アクセス制御
グループ設定では、アクセス制御も可能です。
- ネットワークベースの制限
- 多要素認証(MFA)の設定
- 特別なポリシー設定 など
管理者は、
- 専用の管理者グループ
- きめ細かなポリシー設定
- セキュリティを考慮した表示制限
も行うことが可能です。
Oktaのグループ管理機能を活用することで、複雑なユーザー管理を効率化できます。
グループには、以下のタイプがあります。
| グループソースタイプ | 説明 | 主な特徴 |
|---|---|---|
| ネイティブOktaグループ | Oktaの基本グループ機能 | • アプリケーションや他のリソースとの連携前に作成可能 • デフォルトで「Everyone」グループが存在 • 管理は「Directory > Groups」から実行 • 「Okta Administrators」グループあり |
| Active Directoryグループ | 最も一般的なグループソース | • 大規模企業での標準的な選択 • Okta AD agentで連携 • Domain Local Groups(複数ドメイン)は非対応 • Universal Security Groupsは条件付き対応 • クロスフォレストは非対応 |
| LDAPグループ | LDAP準拠のグループ管理 | • Okta LDAP Agentを使用 • Windows/Unixサーバーのグループをインポート可能 |
| アプリケーショングループ | 外部アプリのグループ連携 | • 対応アプリからグループインポート可能 • APIアクセスとOkta統合が必要 • Box, Google Apps, Jira, Office 365, Workdayなどに対応 |
おまけ
グループの重複について
複数のActive Directoryを使用している環境では、グループの重複という厄介な問題が発生することがあります。
なぜグループが重複するのか
Office365を例にした時、
- 東京オフィスのActive Directory
- 大阪オフィスのActive Directory
- 共通のOffice 365環境
このような環境で、両方のオフィスのグループ情報をOffice 365に同期すると...?
-> この場合、同じグループが2回登録されてしまう可能性があります!
同期の仕組みとしては、
- 東京オフィスのグループ → Office 365に同期
- Office 365のグループ → Oktaに同期
- 大阪オフィスのグループ → Oktaに直接同期
結果:同じグループが異なるルートで2回Oktaに登録されてしまう!
なのでそれぞれのグループの仕組みを理解し適応しましょう。
- 同期設定の見直し
- グループ命名規則の統一
- 重複チェックの実施
- 定期的なグループ監査
- グループ名に拠点コードを付ける
- 同期スケジュールを調整する
- 定期的なグループ一覧の確認 など
おわりに
Oktaを活用することで、組織のアイデンティティ管理を効率化し、セキュリティを強化することができます。特に大規模な組織での運用では、本記事で紹介した機能を適切に組み合わせることで、より効果的な管理が可能となります。
ぜひ、この記事を参考に、御社のアイデンティティ管理の最適化にお役立てください。
Okta WICについてのブログも多数展開されていますので、ぜひこちらもご覧ください。
この記事がどなたかのお役に立てば幸いです。
以上、きだぱんでした。
![[Auth0] Twilioを利用してパスワードレス+SMS認証できるようにしてみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e37cf03c5caac969de0f633e4738977d/1862834d1806cb03b64a8000a5a1a39e/Auth0ByOkta.jpg)
