こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です
ネクストモードではID統合管理(IDaaS)のOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています。
このブログシリーズでは、Okta Identity Governance (OIG) と呼ばれるIDガバナンスに特化したソリューションが持つ様々な機能を実際に検証し、その効果や活用方法についてご紹介していきます。
今回は、OIGの中核機能の一つである Access Certification (アクセス認定) に焦点を当て、特に 「アプリケーションの棚卸し」 をどのように効率化・自動化できるのかを解説します。
利用されなくなったアプリケーションや、誰が利用しているか不明なアプリケーションは、セキュリティリスクや不要なライセンスコストの原因となります。今回の記事では、Access Certification を使って、自社で利用されているアプリケーションの現状を把握し、整理・最適化するための具体的な方法を検証結果とともにご紹介します。
Access Certification(アクセス認定、アクセス権レビュー、または棚卸しとも呼ばれます) とは、従業員や関係者が保持しているアプリケーションやデータへのアクセス権が、現在も業務上必要かつ適切であるかどうかを、定期的に確認・承認するプロセスのことです。
詳細については下記エントリーで紹介していますので、是非御覧ください。
OIG Access Certificationでレビューキャンペーンを実施する際の流れは以下の通りです。
基本的には上記エントリーの「ユーザーの棚卸し」と同様の手順です。
manager属性に設定されている人をレビュー担当者にする)それでは、実際に Access Certification を使ってアプリケーションの棚卸しを行うシナリオを考えてみましょう。
ここでは、「利用されている一部のOkta 上のアプリケーションについて、その利用実態を確認し、不要なアプリケーションやアクセス権を洗い出す」ことを目的とします。
まずはOkta管理画面からIDガバナンス -> アクセス認定 からCreate campaign -> Resource Campaignをクリックします。
キャンペーン名とレビューの開始日およびレビュー期間を入力します。
今回は3週間(21日)をレビュー期間として設定しました。
Make this recurringにチェックを入れるとこのキャンペーンを1年に1回など定期的に実施することが可能です。
次にレビュー対象アプリケーションを選択します。
グループを選択することも可能ですが、今回はアプリケーションを選択します。
次に棚卸しの対象とするアプリケーションを選択します。
次にアプリケーション棚卸しのレビュー対象ユーザーを設定します。
今回はアプリケーションに割当られた全てのユーザー(All users assigned to the selected resources)としています。
直近のアプリケーションへのSSOがないユーザーを指定する事前定義設定やExpression Languageを利用したユーザーの抽出も可能です。
次にレビュー担当者の選択です。
今回は特定ユーザーを設定しましたが、各ユーザーのプロファイルに登録されている「直属の上司 (Manager)」や特定グループをレビュー担当者として設定することも可能です。
レビュー担当者に棚卸しが開始したことや完了したことを通知する設定も入れておきましょう。
次にレビュー結果によってどのようなアクションにするか設定します。
レビュー担当者がrevoke(取り消し)を選択した場合、対象ユーザーのアプリケーションへのアクセス権を剥奪する設定にしました。
以上で設定は完了です。
レビュー開始日になると自動的にキャンペーンが開始されますが、今回は手動で始めます。
作成したキャンペーンからのActions -> Launchをクリックすることで前倒しすることが可能です。
キャンペーンが開始されるとレビュー担当者に下記のようなメールが届きます。
「割り当てられたレビューを表示します」をクリックするとOkta Access Certificationのレビュー画面に遷移します。
各メンバーについて、リストアップされているアプリケーションやグループへのアクセス権が必要かどうかを確認し、Approve(承認)、Revoke(取り消し)、Reassign(レビュー担当者の再割り当て)を実施します。
試しに私のGoogle WorkspaceをRevokeしてみます。
全てのレビューが完了するとメールにてキャンペーンの終了通知が届きます。
「キャンペーンの概要を表示」をクリックすると全ての棚卸し結果が確認できます。
「取り消し」と判定されたアクセス権について、設定に基づき自動的にプロビジョニング解除(アクセス権削除)が実行されるか、または管理者が最終承認してから手動で削除を実行します。
今回のGoogle Workspaceについては自動プロビジョニングの設定をしていましたので、Okta上のアプリケーションから久住が外れ、Google Workspace側からも削除(停止中ステータス)となりました。
キャンペーンの結果レポート(誰が何をレビューし、どのようなアクションが取られたか)はレポート -> アクセス認定キャンペーンに表示されます。
今回は、Okta Identity Governance の Access Certification 機能を使って、アプリケーションの棚卸しを行う方法について解説しました。Access Certification は本来、ユーザーアクセス権の適正性をレビューするための機能ですが、設定次第でアプリケーション自体の利用状況を把握し、整理するための強力なツールとなり得ます。
定期的な棚卸しは、セキュリティ強化、コンプライアンス遵守、コスト最適化の観点から非常に重要です。OIG を活用することで、このプロセスを効率的かつ効果的に実施できることをご理解いただけたかと思います。
このブログシリーズでは、今後も OIG の様々な機能について、具体的な活用方法をご紹介していく予定です。
次回もどうぞお楽しみに!