はじめに ネクストモードの赤井です。 ネクストモードでは社内システムとして利用しているSaaSやWebへのアクセスにおいて、Netskopeを経由する構成を取り、通信の可視化や制御を行っています...
Netskopeのそのワンクリックを無くしたかった話
Non-Golden Release BuildsなNetskope Clientを用いたIdPモードによるユーザーのデプロイ手順を記載しています。
はじめに
毎日完璧なルーティンで調子を保つ人がいるとして、その逆の人もいると思います。
わたしです。
楽をしたい。
楽をしたい。
毎日ちょっとずつ工夫しながら多大な苦労を永年はたいてでも楽をしたい。
そんな方へお話をします。
オンボーディングについて
組織に出入りするメンバーの入退場に伴って、システム側の稼働が多少発生します。
仮に入場者対応をした場合、下記のようなオンボーディング作業が発生します。
-
- 法的な従業員登録
- 幾多のSaaSアカウント作成
- オンボーディング手順の案内
- 役職者との1on1
細かい話は置いておいて、システム側が介入するのは主にSaaSアカウントの払い出し部分となるのですが、
そのうち、Netskopeのオンボーディングについて、アカウント払い出し自体はOktaのProvisioningで一撃です。それは良いんです。とても助かっています。
今日はそのお話はしません。
本題はここからですが、導入初期の払い出し側のルーティンについて、とりあえず下記の絵面を見ながら想像してみてください。
- OktaにログインしてPeopleをインストール(語弊)
- Netskope Admin ConsoleにSSOログイン
- Settingsに移動
- Security Cloud Platform → Usersに遷移
- 入場者のメアドを検索してSend Invitationをクリック
- 入場者を検索してSend Invitationをクリック
- 入場者を検索してSend Invitationをクリック
…(入場者分繰り返す)
何をしているのかというと、各ユーザーのメールアドレス宛に最初のセットアップファイルを送りつけているのですが、これがツライです。
アカウント払い出しを一度実施するならまだしも、各ユーザーをアクティベートさせるためにいちいち目標をセンターに入れてスイッチ、目標をセンターに入れてスイッチ、・・・
嫌ですよね?DRYじゃないですよね?気持ち悪いですよね?
あるじゃん
そこで、良いのがあったので紹介します。
IdPモードによるインストールです。
これはユーザーに最適化されたイメージを配布するのではなく、インストール後にOktaログインを介すことで、どのユーザーにも汎用的に適用できるイメージを活用した導入ケースです。
カンタンにかいつまむと、各ユーザーにテナント接続作業を担わせて、管理者が何もしなくてよくなるものです。(語弊)
管理者ゼロタッチするためならなんぼ苦労かかっても良いですからね。セットアップしましょうね。
セットアップ
IdPモードでEnrollするためには、NetskopeからSAML認証を仕掛けるためのForward Proxyを建てる必要があります。
設定はOktaとNetskope双方に行います。
- まずOktaにログインします。指紋はもう登録しましたか?
(2023年追記)
OktaカタログからNetskope User Enrollmentアプリケーションをデプロイしている場合、別途SAML Forward Proxyを立てる必要はなくなりました。
- 管理ページからApplication→Applications→Create App Integrationへ遷移します。
- SAML2.0を選択します。
- 任意設定してNextをクリック
- 下記のような画面になりましたら、ちょっと新規タブを開いてみてください。
- そのままNetskope Admin Consoleへ。
- Security Cloud Platform → Forward Proxy → SAML - Forward Proxyと進みます。
Oktaに画面を戻して、
- SAML Entity ID → OktaのAudience URI (SP Entity ID)へ
- SAML ACS URL → OktaのSingle sign on URLへ
- 次のページで何か出ますか?まあ一旦Finish押しましょ。
- 今度はNetskope側へパラメタをお返しします。View Instructiionsをクリックしてください。
- Netskope側でNew Accountをクリックし、下記の通り、対応したパラメタを入力してください。
- 終わったら今度はAuthenticationへ移動しましょう。
- ENABLE AUTHENTICATIONをクリック
- 先程作成したプロファイルを選択してSAVEしましょう。
- 成功したらこう出るはずです。
オンボーディングテスト
準備万端です。Johnくんのオンボーディングを見ててください。
- Netskope ClientをDLしてセットアップを開始
- インストールは難なく完了。Tenantの入力を求められるため、自社のテナントを入力
- ここでOktaのログイン画面に飛ばされるため、ログインします。
- Enrollが働いて完了です。
- いつものアイコン(色付きはEnableの証)が見えますね!
- ちなみに権限を渡せば、Unenrollしてマルチユーザーで端末を使い回すこともできます。
※コマンド一発でインストール完了するオプションもありますが、ユーザーにコマンド打たせるのはナンセンスなので普通のセットアップをお見せしています。
今、どこからパッケージを入手した?
Netskope側で、Send Invitationと同等のパッケージを入手可能な固定リンクを用意しています。
※参照先が関係者限りのサイトとなっていますので、Netskopeにご興味のある方はネクストモードへご連絡ください。
実稼働
こんな管理者よがりはいかんです。 全体の稼働を試算してみましょ。(画面数換算)
手でInvitaionした場合…Netskope Admin Consoleへログイン + Settings + Users +(ユーザーを検索→Send Invitationクリック)* 入場者
Enroll任せた場合…(テナント入力)* 入場者
どれだけ入場者が駆け込んできても、IdPインストールのほうが掛かる全体工数が少ないということです!
まとめない
〜管理者がゼロタッチっていうこと〜
違う、そうじゃない。
顧客が本当にほしかったもの、それは、管理者が鼻ほじってる間にオンボーディングが完結するシステムではないのです。
ユーザーがほじりたいんですよね?鼻。
それはMAM(Mobile Application Management)ではないか。
こんなせせこましいことしてないで、自動化に必要なコストをかけて、爆速で業務するためにMAMを導入しましょうね。
MAMのお話はまた今度。