コンテンツまでスキップ

【Okta】OktaユーザーをGoogle Workspaceのメーリングリストに自動的に追加してみた

Picture of kusumin
 

はじめに

こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です

ネクストモードではID統合管理(IDaaS)のOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています

ネクストモードではOktaからGoogle Workspaceにユーザーの自動プロビジョニングをしていますが、メーリングリスト(Googleグループ)には今まで手動で追加していました

当初はそれほど多くのメーリングリストを管理している訳ではなかったのでユーザーを作成してから手動で追加しても大して苦ではなかったのですが、ユーザーが増えてからちょっとだけ辛さを感じはじめました

そこで、今回はGoogle WorkspaceにOktaからユーザーをプロビジョニングする際に自動的にメーリングリストに追加する検証をしたのでご紹介します

手順

手順は下記の通りです

  1. Google WorkspaceのOkta連携
  2. Googleグループ用Oktaグループの作成
  3. Googleグループ用Oktaグループへユーザー割当
  4. Google WorkspaceへOkta Groupのプッシュ


やってみた

Google WorkspaceのOkta連携

まずはGoogle WorkspaceとのSSOとプロビジョニングの設定をしておきます

詳細はOkta公式ドキュメントをご覧ください

Google Workspaceにログインするユーザーを割り当てます

Okta-GWS-Group-Push-001

Googleグループ用Oktaグループの作成

※一回失敗する流れで書いてます

失敗したくない方はOktaグループ名をアルファベットにしましょう

次にGoogleグループ用に個別にOktaグループを作成します

アプリにユーザーを割り当てる際にOktaグループで割り当てる場合、Googleグループ用のOktaグループは別に作成する必要があります

Okta-GWS-Group-Push-010

Googleグループ用Oktaグループへユーザー割当

作成したOktaグループにユーザーを割り当てます

Assign people をクリックします

Okta-GWS-Group-Push-002

ユーザーを検索して + をクリックし、 Done を押します

Okta-GWS-Group-Push-003

以上でGoogleグループ用のOktaグループの準備は完了です

Okta-GWS-Group-Push-011

Google WorkspaceへOkta Groupのプッシュ

次に作成したOktaグループをGoogle Workspaceにプッシュし、同期させます

Okta管理画面の Application -> Google Workspace  -> Push Groups  -> Find groups by name を選択します

Okta-GWS-Group-Push-004

入力欄に先程作成したグループ名を入力すると候補が出てきますのでクリックします

Okta-GWS-Group-Push-005

次に Save をクリックします

Okta-GWS-Group-Push-005

失敗しました

Okta-GWS-Group-Push-006

Oktaグループ名はGoogleグループではメールアドレスの一部(ユーザー名)になるため、日本語が含まれていると失敗してしまいます

戻って、Oktaグループ名を修正します

Oktaグループ名を修正してリトライ

対象のOktaグループの Action  -> Edit を押して、グループ名をアルファベットに変更します

Okta-GWS-Group-Push-012

 Saas部 から saas-div に変更しました

Okta-GWS-Group-Push-007

それではPush Groupsの画面に戻って再チャレンジしてみましょう

Okta-GWS-Group-Push-007

今度は無事成功しました

Okta-GWS-Group-Push-008

Google Workspaceの管理画面からGoogleグループを見てみるとOktaグループと同じ名前、メールアドレスのグループが作られていることが確認できました

Okta-GWS-Group-Push-013


運用方法(イメージ)

設定が完了したので、実際の運用方法を見てみましょう

入退社

社員が入社した際にOktaにユーザーを追加するケースで考えてみましょう

Okta管理画面でユーザー追加時にGroups選択項目に含めたいGoogleグループ用のOktaグループを入れます

※Oktaのグループルールという属性に応じて自動的にGroupに追加する機能を利用すると、よりエレガンスです

Okta-GWS-Group-Push-008

これでGoogle Workspace側は自動的に追従してくれます

異動

次に社員が部署間異動するケースを考えてみます

部署間異動ではOktaグループの割当し直しで対応可能です

今回はイメージとして saas-div というグループから外してみます

Okta-GWS-Group-Push-009

こちらも同様にGoogle Workspace側は自動的に追従します

余談

イメージで記載した運用方法は結局手動対応があり、まだまだイケてないですが、Groupルールを利用してグループへの自動追加の設定、Okta Workflowsを使ったワークフロー、HRシステムとの連携などにより運用コストを減らしていくことができるでしょう


注意点

本記事内でも記載してますが、Group pushの際、Oktaグループはメールアドレスのユーザー名として使われるため、日本語は利用できません

また、Okta App(Google Workspace)に割り当てるOktaグループとPushするOktaグループは別にしておく必要があります

参考:Okta Group Pushの前提条件


さいごに

ネクストモードではまだ直面していませんが社員が増えたり部署間異動が多くなってくると、見えない運用コストが増えてきます

OktaはIDの一元管理だけでなく、運用していく中で直面する課題に対してかゆいところまで手が届く素晴らしいサービスなので是非試してみてはいかがでしょうか。
,