.png?width=50&name=95a02ab47cca4cbb678427922c962e63%20(1).png)
こんにちは、 ネクストモード株式会社のhagiです。 Okta社が主催する米国の年次イベント「Oktane」が今年も一瞬で通り過ぎて行きました。もう、あっという間に。...
はじめに
こんにちは、 ネクストモード株式会社のサイドウです。
このブログシリーズでは、ID ガバナンスに特化したソリューションである Okta Identity Governance (OIG) の各機能について、実際の検証も交えてその効果および活用方法を解説していきます。
本記事では、Okta Identity Governance (OIG) をサブスクライブすることで追加されるレポート機能についてまとめます。
そもそもOktaのレポート機能は魅力的
レポート機能の充実さは、IDaaS製品を選定する際にはあまり重要視されない傾向があると思います。(セキュリティだ!プロビジョニングだ!がメイン?)
しかし、「セキュリティだ!プロビジョニングだ!」という目的は、導入初期で満足してしまう事が殆どで、実際には運用フェーズではログの見やすさだったり、痒い所に手が届く感じのレポート機能等が長期的な満足度を下支えすると個人的に思っています。特にアイデンティティハブのように、"一元化"みたいな所を目指す製品においては。
OIGのレポート機能について語る前に、Okta標準のおすすめレポートについても軽く紹介します。
紹介しているレポート以外も魅力的です。Oktaは幅広く運用要件をカバー出来ていると思います。
・レポート機能の使い方
[Okta Admin Console]-[レポート]-[レポート]を開くとOktaで利用可能なレポートの一覧が表示されます。※ライセンスにより増減あり。
レポートはブラウザでの確認だけでなく、csvファイルとしてエクスポートも可能です。
おすすめレポート① グループメンバーシップ
グループの所属メンバー情報を一撃で取得できます。
他社製品で痒かったポイント:
「グループの一覧」や「ユーザーの一覧」は取得できても、どのグループにどのユーザーが所属しているかを一覧取得できなかった。
ほとんどのアクセス権はグループ単位で割り当ててるのに!!
前職で他社製品を取り扱った際、この情報を取得できるように、APIを使用してわざわざスクリプトを組んだ過去があります。
レポートのイメージ:
おすすめレポート② アプリへのユーザーアクセス
連携済みのアプリケーションに割り当て済みのメンバー情報を一撃で取得できます。(グループで割り当ての場合もOK)
他社製品で痒かったポイント:
「アプリの一覧」は取得できても、どのアプリにどのユーザーが所属しているかを一覧取得できなかった。
アクセス権の棚卸とか、どうやってやるの!!
ちなみにこれも他社製品では、APIを使用してスクリプトを組んだ過去があります。
レポートのイメージ:
OIGのレポート機能
本題である、OIGのレポート機能について紹介します。
このレポート機能が前述の通り、Okta OIGの使いやすさを下支えしていると思います!ぜひ参考に!
・追加されるレポートの種類
OIGのサブスクライブ後、下記表に記載のレポートが追加され利用可能となります。
OIGのメイン機能である「Access Certification」および「Access Requests」に関するレポート機能となります。
各機能の詳細については、リンクの弊社ブログを参照ください。
| レポート名 | レポート名(日本語) | 概要 | ユースケース |
| Past Campaign Summary report | 過去のキャンペーンの概要 | キャンペーン毎の構成情報と完了状況を集計。進捗率や承認率を把握可能 | ・経営層や監査部門向けのサマリ ・キャンペーンの振り返り |
| Past Campaign Details report | 過去のキャンペーンの詳細 | キャンペーンで実施されたレビュー結果。レビュワーが各ユーザーをどのステータスに評価(承認/却下等)したのか確認可能 |
・キャンペーン後の監査レポート |
| Past Access Requests report | 過去のアクセスリクエスト (リクエストタイプ) | 過去に発生したアクセスリクエストの実行結果を取得。どの条件で誰がリクエスト/承認したのかを確認可能 | ・承認プロセスのボトルネック分析 ・承認者毎の負荷可視化 |
| Past Access Requests (Conditions) report | 過去のアクセスリクエスト(条件) | 誰がどのリクエスト条件を通じてアクセス要求をしたかを確認 | ・アクセスリクエスト条件の効果検証 ・セキュリティ例外(一時的なポリシー緩和)の監査 |
| User entitlements report | ユーザー権限 | アプリケーションに対してユーザーに割り当てられているすべての権限を表示 |
・退職者/異動者のアクセス評価 |
他社製品で類似機能(例:M社製品「アクセスレビュー」等)はあれど、前述のおすすめレポート同様にレポート機能部分で痒い所に手が届かないケースが多いです。(例:アクセスリクエストの発行履歴や理由はエクスポートできない等)
OktaのOIGでは搭載機能に対して、運用上必要十分なレポートが取得できる点も大きく評価できると思います。
→これぞ痒い所に手が届く!!
以降は、各レポートの説明をまとめます。
・過去のキャンペーンの概要
過去に実施したキャンペーン全体の進捗状況や統計情報(全体の承認率、進捗状況等)をサマリ形式で素早く把握できます。
他社製品で痒かったポイント:
各キャンペーンの集計・分析をキャンペーン毎に手動で行う必要があるため、全体像を一目で確認するのが困難。
レポートのイメージ:
・過去のキャンペーンの詳細
キャンペーンの各リソース(アプリ、グループ、権限)ごとに、承認・却下・未回答などの詳細なステータス情報を一撃で確認できます。(誰がいつ誰を評価したか)
他社製品で痒かったポイント:
キャンペーン個別の詳細な承認状況やリソース単位の情報を一括で確認するため、個別にログや API 経由でデータを収集する必要があり、統合的な一括出力が難しいと感じられました。
レポートのイメージ:
・過去のアクセスリクエスト (リクエストタイプ)
過去のアクセスリクエスト(新規アクセス申請や権限エスカレーション)の履歴を一覧で出力し、申請者、承認者、処理状況などが分かりやすく表示されます。
他社製品で痒かったポイント:
アクセスリクエストの情報がユーザーごとに分散され、全体を一括でダウンロードできず、承認履歴のトレーサビリティ確保や棚卸に大変手間がかかる印象を受けました。
レポートのイメージ:
・過去のアクセスリクエスト(条件)
コンディション(条件)付のログを確認できます。特定の条件(期間限定のアクセス等)の申請状況や実行結果を詳細に把握できます。
他社製品で痒かったポイント:
条件付きリクエストの管理機能が散在しており、どの条件下でどのユーザーがアクセスをリクエストしたのかを一元管理する標準レポートがないため、個別のカスタムスクリプトが必要でした。
レポートのイメージ:
上記キャプチャより、[リクエストパーマリンクID]をクリックすることでタスク毎のタイムスタンプ等の詳細情報を確認できます。
・ユーザー権限
各ユーザーに対して付与されている全エンタイトルメント(アプリ、グループ、ロールなど)を網羅的に一覧化し、権限の棚卸や不整合の検出が容易です。
他社製品で痒かったポイント:
ユーザーごとの権限情報が複数のページに分散していて、一括で統合・一覧化する仕組みが整っていない印象があります。
レポートのイメージ:
参考ページ
最後に
Okta のレポート機能は、標準機能だけでも運用や監査に必要な情報を提供しています。
また、OIGによる追加レポートで棚卸キャンペーンやアクセスリクエストに特化した詳細な分析が可能です。
他のID管理製品では得られない、ログ情報取得の簡易さがとても魅力的だと思います!!
このブログシリーズでは、今後も OIG の様々な機能について、具体的な活用方法をご紹介していく予定です。
次回もどうぞお楽しみに!
