Okta Identity Governanceで簡単にできる、ワークフロー実装の実例

アイデンティティのガバナンスと管理を行うIGAですが、昨今Light（軽い）IGAと呼ばれる製品が出てきました。Light IGAは、IGA製品の「非常に機能が多く、複雑」というデメリットを、機能を最低限に絞って解決します。

ラックでは、Light IGAとして、IAM製品のリーダー企業であるOktaの「Okta Identity Governance」を提案しています。今回は実際のデモ画面とともに、アクセス権限申請フォーム作成から承認までの流れを紹介します。

Okta Identity Governanceのライセンスについて

Okta Identity Governanceは、Okta SSOのライセンスに追加ができます。また、Okta Identity Governanceには、Okta Lifecycle ManagementおよびOkta Workflowsが含まれます。

Okta Identity Governanceでできること

Okta Identity Governanceでは、以下の3つの機能を利用できます。

①Access Requests

アプリケーション、グループの利用申請・承認を行う機能

②Access Certifications

アプリケーション、グループの棚卸（自動で定期的な権限確認を行う）

③Reporting

アプリケーションへのユーザーアサイン状況レポート。棚卸結果のレポート

本記事では、①Access Requestsを使って、「Salesforceの一時的な利用申請」の自動化を行います。

今回実装したいフロー

今回はSalesforceの権限を持たないユーザーに、一時的にSalesforceを利用させるフローを実装します。通常のフローでは、ユーザーの申請後、申請書の郵送やメールでの添付、管理者の承認や権限付与などが必要ですが、Okta Identity Governanceを使えばそれらの段階を自動化できます。

前提：（管理者画面）管理者のワークフロー設定画面

①Access RequestsのCreate request typeを選択します

②ワークフロー名や申請を行うユーザーグループ、承認を行う管理グループなどを選択します

③確認したい質問事項や要件に沿ったタスク、アクションを作成します

ワークフローでは、単独のタスクを処理するだけでなく、「承認後に役割を付与する」、「利用終了日に権限を剥奪する」など、アクションの順序性を付与できます。

今回の作成したワークフローは下記となります。

Questions

ユーザーへ表示される質問が設定できます。
今回は、「アクセスが必要な理由」をフリー入力、「利用終了日」を日付選択、「Salesforceロールの選択」をリストで選択できるよう設定しました。

Tasks＆Actions

管理者ユーザーのアクションが設定できます。
今回は、管理者承認後、Oktaのアプリをユーザーに割り当て、指定した期日終了後に割り当てを解除するように設定しました。

以上で、「Salesforceの一時的な利用申請」の設定が完了しました。

ここからは、ユーザー側の視点でSalesforceの権限申請を行っていきます。

前提：（ユーザー画面）ユーザーの申請画面

①ユーザーは、Oktaにログインし、Access Requestsアプリケーションを選択

②自分の申請したいフローをクリック

③設定された項目を記入し、リクエストを作成

次は、管理者側で申請の許可を行っていきます。

前提：（管理者画面）管理者のワークフロー画面

管理者に下記のようなメールが届くので、申請内容を確認し、承認または否認を行います。

「view requests」を押すとポータル画面からリクエストの詳細が確認可能です。
こちらからも詳細の確認や承認、否認が可能です。

これで、申請したユーザーにはOktaアプリケーションに登録されているSalesforceへの権限が付与されました。

さいごに

今回は、Okta Identity Governanceのアクセス権限申請フォーム作成～承認までの流れをご紹介しました。IGA Suitesとは違い、OktaではGUI＋シンプルな操作のみでワークフローの実装が可能です。一般的な申請承認ワークフローレベルで作成できるので、多くの企業で導入しやすいのではないでしょうか。