【Okta】意外と知らないOkta Workflowsの権限設定方法

はじめに

こんにちは、ネクストモード株式会社テクニカルサポート担当です。

前回、以下の記事でOktaのSuper Administrator権限について、OIG機能を活用したオンデマンド型のアクセス権限管理の方法をご案内しました。

【Okta | OIGシリーズ】最小権限の原則を実践するAccess RequestsによるOkta管理者権限の付与

この方法では、Read-only Administrator権限を付与していても、Okta Workflowsへのアクセス自体ができなくなり、単に閲覧したいだけの場合でもアクセスリクエストが必要になってしまいます。

本記事では、Okta Workflows自体の権限設定についてご紹介します。

Okta Workflows自体の権限設定とは？

Okta Workflows release notesの2025.02.0リリースでは、「Role-based access control is now GA for production orgs」と記載されており、フル権限、読み取り専用権限、コネクション設定のみ可能な権限など、機能に特化した権限設定が利用できるようになりました。

設定方法

Okta Workflowsにアクセスし、上部メニューのSettingsを開くと、現在のOkta Workflowsにアクセスできるユーザーと各権限が表示されます。設定箇所はやや見つけにくい場所にあります。

ここではSuper AdminユーザーはOkta自体のフル権限を保有しているため、Okta WorkflowsでもSuper Org Admin権限が付与されています。

その他のユーザーはOkta Workflowsアプリにアサインされていますが、権限は何も付与されていない状態です。

EditボタンからはWorkflows AuditorとConnection Managerが選択できます。

権限の関係性

Okta Workflowsでできることをベースに権限を整理すると以下のようになります。

• フルアクセス権限： Okta側でSuper AdministratorかWorkflows Administrator権限を付与する必要があります。
• フローの閲覧を行う場合： Okta Workflows側でWorkflows Auditor権限を付与する必要があります。
• コネクションの設定を行う場合： Okta Workflows側でWorkflows Connector Admin権限を付与する必要があります。

注意点として、Okta側でSuper AdministratorまたはWorkflows Administrator権限を持つユーザーは、Workflows側の設定画面から権限を変更できません。これらのユーザーには常にWorkflowsへのフルアクセス権限が付与されます。

まとめ

Okta WorkflowsのRole-based access controlを活用することで、限定的な権限を付与できます。この機能により、日常的にはOkta Workflowsを読み取り専用で利用し、必要な場合のみ先日ご紹介したアクセスリクエスト機能を通じて、利用期間を限定したSuper AdminまたはWorkflows Administrator権限を取得することでOkta Workflowsの運用が可能になります。このように最小権限の原則を実践することで、セキュリティリスクを効果的に低減できます。ぜひ皆様の環境でもこの機能を活用してみてください。