こんにちは、ネクストモード株式会社テクニカルサポート担当です。
以前、【Okta】意外と知らないOkta Workflowsの権限設定方法という記事で、Okta Workflows画面で設定できる『Workflows Auditor』と『Connection Manager』という権限をご紹介しました。
本記事では、Okta Workflowsの『Workflows Auditor』『Connection Manager』権限が Okta Identity Governance(OIG)のEntitlement Managementに対応したことによる運用上のメリットについてを解説します。
Okta Workflowsの画面には、読み取り専用の『Workflows Auditor』とコネクション設定専用の『Connection Manager』という権限があります。一方、Okta Workflowsの全般的な編集権限は、Okta管理画面で設定する必要があります。
結果として、権限の付与・変更・棚卸しの導線が複数画面に分散し、可視性と監査性が下がっていました。
主な改善点は以下です。
Entitlement Managementによる全般的な改善や運用ポイントは次の記事をご参照ください。
記事執筆時点ではOkta WorkflowsのEntitlement managementの有効化後に無効化する導線が見当たらないため、本番環境で適用するかどうかは慎重にご検討ください。
Okta管理コンソールのSettings>FeaturesからGovernance for Workflowsを有効化します。
Okta管理コンソールでApplicationsからOkta Workflowsを選択し、GeneralタブからEntitlement managementをEnabledとします。
少し時間をあけて画面をリロードするとGovernanceタブが表示されるので開き、Entitlement内の『Sync entitlements』をクリックします。これによりOrg_Rolesに『Workflows Auditor』と『Connection Manager』が表示されます。
これらの『Workflows Auditor』と『Connection Manager』はPolicyタブでルールベースで割り当てたり、 Assignmentsで指定することができます。
OIGのEntitlement Managementを有効とすると、Okta Workflows 側でのロール付与は無効化され、『Role assignment is disabled while Governance is enabled for Workflows.』と表示されます。
Okta WorkflowsのロールがOIGのEntitlement Managementに対応したことで、権限管理の一元化と効率的な棚卸しが可能になりました。これにより、管理者は複数の画面を行き来する必要がなくなり、より簡単に権限を把握・管理できるようになります。
ただし、Okta WorkflowsのEntitlement Management機能は一度有効化すると無効化できないため、本番環境への適用は慎重に検討することをお勧めします。現在Early Access機能として提供されているため、General Available時には改善されていることを期待しましょう。