はじめに こんにちはこんばんは、Okta Hub & Spoke構成をこよなく愛するネクストモードのおはらふです 今回は、OktaのHub & Spoke構成について設定を行っていきたいと思います...
はじめに
こんにちはこんばんは、Okta Hub & Spoke構成をこよなく愛するネクストモードのおはらふです
今回は、複数の子会社や複数の部署を持つ企業において役立つかもな、OktaのHub & Spoke構成について紐解いていきたいと思います
設定編はこちらにありますので、併せてご覧ください
背景
ひとつのOktaテナントを利用するだけでもID管理の煩わしさから解放されるOktaですが、 大規模な企業の場合においては、組織単位でOktaテナントを構築した方がより利便性が高くなる場合もあります
一方で、全社的に使うアプリを組織単位で設定管理するのが非効率という課題が残ってしまいます
そこで、組織単位で使うアプリ用に各Oktaテナントを構築しつつも、全社的に使うアプリは一括管理したいという要望に応えるのが「Okta Hub & Spoke構成」となります
下図のぐらいならひとつのテナントで一括管理しても良いのですが、実際はもっと多くのSaaSを組織単位で利用しているはずなので管理を分けることは非常に有効です
ユーザーとしての使い勝手は変わらず、組織管理SaaS、全社管理SaaSともに1つのテナントから利用可能です
Okta Hub & Spoke構成のポイント
Hub & Spoke構成を取ることで良いことがたくさん起こります
- 複数組織の社員が利用するSaaSの管理を一元化できる
- 各組織単位で利用するSaaSは各組織に権限を委譲できる
- 全社員が利用するSaaSがある場合、Hub側にアカウント情報が集約されるので、部門間の費用按分が効率的に計算できる
- 課金体系は構成全体でのユーザー毎なので、HubとSpokeで重複課金とならない
- 買収等でSpoke側のメールドメインが違う場合も、Hub側でドメイン変換することでユーザー影響少なくインテグレーション可能
- SaaS側の制限により、ひとつのSSOしか設定できない場合の解決策になる
最後の点についてですが、連携先SaaSによってはドメイン毎にひとつのSSOプロファイルとなる(1ドメインで複数テナント設定が不可)仕様があり、 1ドメインで複数Oktaテナントを利用する場合はHub経由で利用することで解決できるケースがあります
Okta Org2Org
Hub & Spoke構成を構築するために利用するOktaの機能が「Okta Org2Org」となります
Okta Integration Network(OIN)に、そのままの名前でアプリとして存在しています
Hub & Spoke構成とOkta Org2Orgは同義になります
Okta Org2Orgの接続図や設定方法等については別途紹介したいと思います
さいごに
複数Oktaテナントを使いつつも、全社員が使うSaaSも効率よく管理したい場合、OktaのHub & Spoke構成は非常に便利な機能となります
設定自体もそこまで複雑ではないので、次回以降に具体的な設定方法をご紹介していきます
