コンテンツまでスキップ

【Okta | OIGシリーズ】Slack からアプリケーションの利用申請と承認をやってみた

はじめに


こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です

ネクストモードではID統合管理(IDaaS)のOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています。

このブログシリーズでは、Okta Identity Governance (OIG) と呼ばれるIDガバナンスに特化したソリューションが持つ様々な機能を実際に検証し、その効果や活用方法についてご紹介していきます。
今回は、Okta Identity Governance(OIG)の「Slack連携」機能についてご紹介します。

Okta Identity Governance (OIG) は、従業員のアクセス権ライフサイクルを管理し、組織のセキュリティとコンプライアンスを強化するOktaのソリューションです。日々の業務において、アプリケーションへのアクセス権申請や、その承認作業に時間を要しているケースは少なくないでしょう。

本記事では、OIGとSlackを連携させることで何が可能になるのか、設定の手順、そして実際にアクセスリクエストの承認をSlackで行った際の動作を、スクリーンショットを交えて解説します。

Slack連携でできること(概要)


Okta Identity GovernanceとSlackを連携させることで実現できる主な機能について説明します。

  • アクセスリクエストの通知とSlack上での承認/否認: ユーザーがOkta経由で特定のリソース(アプリケーションやグループなど)へのアクセスを申請すると、承認者のSlackに通知が送信されます。承認者はSlackのメッセージから直接「承認」または「否認」のアクションを実行できます。Oktaの管理画面へ遷移する手間を削減できます。
  • アクセスレビューキャンペーン(棚卸し)の通知とSlack上での実行: 定期的なアクセス権の見直し(レビューキャンペーン)も、担当者のSlackに通知されます。Slack上でアクセス権の状況を確認し、レビュー作業を進めることが可能です。
  • 各種通知による状況把握: 新しいユーザーがプロビジョニングされた際や、アクセス権に変更があった場合など、関連情報をSlackで受け取ることができます。
  • リマインダーによる対応漏れ防止: 承認待ちのリクエストや未完了のレビュータスクがある場合、Slack経由でリマインダーが送信され、対応漏れの抑制に繋がります。

OIGとSlackの連携は、アクセス管理業務の効率化に寄与し、IT管理者だけでなく一般ユーザーの利便性向上にも貢献します。

Slack連携の設定手順


Okta Identity GovernanceのAccess Request(利用申請)におけるSlackの連携設定手順を説明します。

まず、Access Requestsの管理画面のSettingsIntegrationsからSlackのConnectをクリックします。

OIG-Integration-Slack-001

Connect to SlackのポップアップでAdd to Slackをクリックします。

OIG-Integration-Slack-002

Slackワークスペースへのアクセス権限の設定が必要となるため、許可するをクリックします。

OIG-Integration-Slack-003

以上でSlackとの連携設定は完了です。

アクセスリクエストのSlack連携の動作確認


次に、設定した連携の動作確認を行います。

エンドユーザーが特定のアプリケーションへのアクセスをSlackからリクエストし、そのリクエストが承認者のSlackに通知され、Slack上で承認を行う」というシナリオで検証します。

検証シナリオ:

  • 申請者: 一般社員
  • 承認者: リクエストユーザーのマネージャー
  • リクエスト対象: 特定のSaaSアプリケーション(例:Box)

申請者が申請理由を記載し、承認者がその内容を確認して承認するだけの簡単な「BOX利用申請」フォームを作成しました。

OIG-Integration-Slack-005

エンドユーザーによるアプリ利用申請

申請者はOktaにログインし、Access Requestsアプリから申請することが出来ます。

OIG-Integration-Slack-006

ただし、今回は上記の方法ではなく、Slackから直接申請をしてみます。
SlackのOktaアプリのホームから作成した申請フォーム(BOX利用申請)を選択します。

OIG-Integration-Slack-004

申請フォームで利用申請理由を聞くようにしているため、理由を記載してSubmitをクリックします。

OIG-Integration-Slack-007

申請が完了するとSlackのOktaアプリのメッセージに申請が完了した旨が通知されます。

OIG-Integration-Slack-008

承認者による申請内容確認および承認

リクエストが送信されると、承認者であるマネージャーのSlackに、Oktaアプリから通知が届きます。

OIG-Integration-Slack-010

Questionsをクリックすると記入した申請理由が確認できます。

OIG-Integration-Slack-009

Your tasks欄にあるApprove or denyをクリックし、承認します。

OIG-Integration-Slack-014

OIG-Integration-Slack-015

これで承認作業は完了です。

OIG-Integration-Slack-016

今回は設定していませんが、承認されると自動的にBoxアプリにユーザーが割当されて、プロビジョニングや権限設定がされる設定も可能です。

申請をもっと楽にしてみる


Slackで申請する際、Oktaアプリのホームから実施するのはちょっとだけ手間という方に他の方法も紹介します。

任意のチャンネルで/access box もしくは@okta boxと入力します。
/access request for use of the box のように自然言語でリクエストすることが可能です。

OIG-Integration-Slack-011

Oktaアプリに直接呼びかける場合は下記のようになります。

OIG-Integration-Slack-013

すると先ほど作成したBOX利用申請が表示されますので、Continueを押して申請を進めることができます。

OIG-Integration-Slack-012

上記のように特定の申請用チャンネルを作成して申請を集約するのもありですね!

おわりに


本記事では、Okta Identity GovernanceとSlackの連携機能、特にアクセスリクエストの承認プロセスについてご紹介しました。

承認者はOktaの画面へ遷移することなく、日常的に利用するSlack上で迅速に承認作業を完了できます。これは、特に多くの承認依頼を受け取る立場の方にとって、業務負荷の軽減に繋がるでしょう。また、申請者にとっても、承認までの時間短縮が期待できます。

運用上の注意点としては、通知設定の調整が挙げられます。通知が過多になると重要な情報が埋もれてしまう可能性があるため、Slack通知の対象とするリクエストの種類や通知先を適切に設定することが、この連携機能を有効に活用する上で重要になると考えられます。

Okta Identity Governanceは、この他にもアクセスレビューやユーザーライフサイクル管理など、企業のセキュリティとガバナンスを強化するための多くの機能を備えています。今後も、OIGの機能や活用事例について情報を発信していく予定です。