はじめに こんにちは、 ネクストモード株式会社 テクニカルサポート担当です。 Okta Identity Governance (OIG) の機能の一つであるEntitlement...
はじめに
こんにちは、ネクストモード株式会社テクニカルサポート担当です。
以前、【Okta】意外と知らないOkta Workflowsの権限設定方法という記事で、Okta Workflows画面で設定できる『Workflows Auditor』と『Connection Manager』という権限をご紹介しました。
本記事では、Okta Workflowsの『Workflows Auditor』『Connection Manager』権限が Okta Identity Governance(OIG)のEntitlement Managementに対応したことによる運用上のメリットについてを解説します。
これまでの課題
Okta Workflowsの画面には、読み取り専用の『Workflows Auditor』とコネクション設定専用の『Connection Manager』という権限があります。一方、Okta Workflowsの全般的な編集権限は、Okta管理画面で設定する必要があります。
結果として、権限の付与・変更・棚卸しの導線が複数画面に分散し、可視性と監査性が下がっていました。
Entitlement Managementによる改善
主な改善点は以下です。
- 管理の一元化:権限付与やポリシー化をOkta管理コンソールに集約
- 棚卸しの効率化:Access Certificationでロール単位の棚卸しが可能
Entitlement Managementによる全般的な改善や運用ポイントは次の記事をご参照ください。
設定方法
記事執筆時点ではOkta WorkflowsのEntitlement managementの有効化後に無効化する導線が見当たらないため、本番環境で適用するかどうかは慎重にご検討ください。
Early Accessの有効化
Okta管理コンソールのSettings>FeaturesからGovernance for Workflowsを有効化します。
Entitlement Managementの有効化
Okta管理コンソールでApplicationsからOkta Workflowsを選択し、GeneralタブからEntitlement managementをEnabledとします。
少し時間をあけて画面をリロードするとGovernanceタブが表示されるので開き、Entitlement内の『Sync entitlements』をクリックします。これによりOrg_Rolesに『Workflows Auditor』と『Connection Manager』が表示されます。
これらの『Workflows Auditor』と『Connection Manager』はPolicyタブでルールベースで割り当てたり、 Assignmentsで指定することができます。
Okta WorkflowsでのSettingsについて
OIGのEntitlement Managementを有効とすると、Okta Workflows 側でのロール付与は無効化され、『Role assignment is disabled while Governance is enabled for Workflows.』と表示されます。
まとめ
Okta WorkflowsのロールがOIGのEntitlement Managementに対応したことで、権限管理の一元化と効率的な棚卸しが可能になりました。これにより、管理者は複数の画面を行き来する必要がなくなり、より簡単に権限を把握・管理できるようになります。
ただし、Okta WorkflowsのEntitlement Management機能は一度有効化すると無効化できないため、本番環境への適用は慎重に検討することをお勧めします。現在Early Access機能として提供されているため、General Available時には改善されていることを期待しましょう。
