【Okta | OIGシリーズ】Realms でユーザーを分割管理する

はじめに

ネクストモードのゆきなわです。

本ブログシリーズでは、ID ガバナンスに特化したソリューションである Okta Identity Governance (OIG) が提供する主要機能を、実践的なユースケースとともに紹介していきます。

今回は2025年3月に正式リリース（Generally Available）となった Realms（レルム、領域）機能を取り上げ、その概要から具体的な設定方法までを解説します。

Realms とは

Oktaでのユーザー管理において、以下のような課題でお悩みではないでしょうか。

• 部門ごとにユーザー管理を任せたいが、他の部門の情報へのアクセスは防ぎたい
• 外部の協力会社（委託先）のユーザーアカウントを、自社従業員と同じ Okta 環境内で、しかし明確に分けて管理したい

Okta Identity Governance (OIG) の一機能である Realms（レルム）は、これらの課題に対する有力なソリューションの一つです。

Realms は Okta の Universal Directory 内のユーザーを論理的に分割する領域 (Realm) を作成する機能です。これにより、以下のようなメリットが得られます。

• ユーザーの分離: 部門、拠点、委託先といった組織単位でユーザーを Realm ごとに明確に分けて管理できます。
• 限定的な管理権限: 管理者ロールの適用範囲を特定の Realm に限定できます。これにより、各部門の管理者は担当 Realm 内のユーザーのみを管理でき、他の Realm に属するユーザーの情報には一切アクセスできない運用を取ることができます。

Realms を活用することで、組織のセキュリティポリシーに準拠した柔軟なユーザー管理と、適切な権限委譲によるガバナンス強化を実現できます。

Realms がもたらす効果

以下の表に Realms 活用による具体的な効果を改めてまとめます。

制限事項

前述のように、Realms はこれまでの Okta Universal Directory を補完する機能ですが、以下に示す通りいくつかの制約があります。

このような制約は存在するものの、カスタム管理者ロールと追加のリソースセット（アプリケーションやグループ）を組み合わせることで、きめ細かな権限委譲が可能です。これにより、特定の管理者は担当の Realm に対してのみ許可された操作を実行でき、最小権限の原則に基づいたセキュアな運用を実現できます。

ユースケース

ここからは、Okta を導入している企業 X 社（単一の Okta org を利用）を例に、具体的な Realms の活用シナリオを紹介します。

1. 営業本部と開発本部でユーザー管理を分離

■シナリオ

X 社では、営業本部と開発本部それぞれに情シス担当者が存在している。
各情シス担当者には自部門のユーザーのみを管理させたい。

■Realms による解決方法

• SalesRealm（営業本部）と DevRealm（開発本部）を作成
• 各部門の情シス担当者には、所属 Realm のユーザーだけを操作できるカスタム管理者ロールを付与して管理権限を委譲

2. 業務委託先ユーザーを分けて必要最小限の管理権限を付与

■シナリオ

X 社では業務委託先の協力会社 A 社からの参画メンバーにアカウントを払い出して運用している。
A 社専任の管理者には社内ユーザーの情報等にはアクセスさせず、パスワードリセットやロック解除などのヘルプデスク業務のみ実施させたい。

■Realms による解決方法

• 委託先ごとに Realm を作成（例：VendorARealm）
• A 社専任の管理者には、対象 Realm 内のユーザーに限定されたヘルプデスク業務用のカスタム管理者ロールを付与して管理権限を委譲

設定例

前述のユースケース 1 の例に沿い、X 社の営業本部に該当する Realm SalesRealm を作成し、営業本部情シス担当者にカスタム管理者ロールとリソースセットを割り当てる手順を紹介します。また、情シス担当者が Okta Admin Console でどのような管理操作ができるかについて、Okta org の全権限を持つスーパー管理者との画面比較を交えながら説明します。

ここでは説明を単純化するため営業本部向けの SalesRealm に絞っていますが、開発本部 DevRealm など他の組織単位に対しても同じ考え方で設定が可能です。

想定条件

• 営業本部情シス担当者が所属する Okta グループを SalesRealmAdministrators とし、このグループに SalesRealm の管理を委譲する。
• SalesRealm の管理者には、以下の権限を含む管理者ロール SalesRealm Administrator を割り当てる。
  • SalesRealm のユーザー管理（表示、作成、削除、サインアウトなど）
  • Okta org で管理されているアプリケーションへの SalesRealm ユーザーの割り当て
  • Okta org で管理されているグループへの SalesRealm ユーザーの追加・削除

設定手順

設定は、1. Realm の作成、2. リソースセットの作成、3. カスタム管理者ロールの作成、4. 管理者グループへの割り当ての4つのステップからなります。全て Super Administrator（スーパー管理者）または Organization Administrator（Org 管理者）の管理者ロールを持つユーザーによる Okta Admin Console での操作となります。

1. Realm の作成
   • Directory > Realms に移動
   • Create realm をクリック
   • Realm name: SalesRealm を設定
   • Create realm を押下して保存
2. リソースセットの作成

   • Security > Administrators > Resources に移動

   • Create new resource set をクリック

   • Name: SalesRealm Resource Set を設定

   • Add resource をクリックし、下記リソースを追加

     リソースタイプ	リソース	備考
     Realm	SalesRealm	Realm へのユーザー追加などに必要
     Users	SalesRealm	・Select users で Users in Realm から追加 ・ユーザー管理に必要
     Applications	All applications	・アプリケーションへの割り当てに必要 ・部門利用のアプリケーションに限定するなどの設定も可能
     Groups	All groups	・グループメンバシップの管理に必要 ・部門利用のグループに限定するなどの設定も可能

   • Create を押下して保存

3. カスタム管理者ロールの作成

   • Security > Administrators > Roles に移動

   • Create new role をクリック

   • Role name: SalesRealm Administrator を設定

   • 以下の権限 (Permissions) を追加（全5権限）

     No	権限名	カテゴリ	備考
     1	Manage users	User	ユーザー操作に関する全権限を許可
     2	View groups and their details	Group	Org へのグループの作成とアプリケーションへのグループ割り当ては制限
     3	Manage group membership
     4	Manage realms	Realms	Realm へのユーザー作成に必須
     5	Edit application's user assignments	Application	ユーザーへのアプリケーション割り当てに限定

   • Save role を押下して保存

4. 管理者グループへの割り当て
   • Security > Administrators > Admins に移動
   • Add administrator をクリック
   • Select admin: Okta グループ SalesRealmAdministrators を設定
   • Role と Resource set にそれぞれ SalesRealm Administrator と SalesRealm Resource Set を設定
   • Save changes を押下して保存

以上で設定は完了です。

動作

営業本部情シス担当者グループ SalesRealmAdministrators に所属する管理者ユーザーとして Okta Admin Console にログインし、グループを通じて本ユーザーに設定済みの権限（管理者ロール SalesRealm Administrator ）の動作を確認してみます。

以下の図では、左側に設定した権限での表示を、右側には比較用として Okta org の全権限を持つ Super Administrator の管理者ロールでの表示を示しています。

1. ユーザー (Directory > People)

   

   • 操作メニューはいずれの管理者ロールでも同等ですが、SalesRealm Administrator では SalesRealm 所属のユーザー（2ユーザー）とログインしている管理者ユーザーのみが表示されます（今回の設定では管理者自身は SalesRealm に所属していません）。Super Administrator では Org の全ユーザが表示されます。

1. グループ (Directory > Groups)

   

   • Okta のデフォルトグループである Everyone を開いたときの様子です。前述のユーザーと同じく、操作メニューは同等ですが、管理者ロール SalesRealm Administrator では SalesRealm 所属のユーザーとログインしている管理者ユーザーのみが表示され、本 Realm 外のユーザーは不可視となります。また、グループメンバシップの操作は SalesRealm 所属のユーザーに限定されます。
   • グループに所属しているユーザーの総数 (187) についてはいずれの管理者ロールでも表示されています。一方 Super Administrator では、187 中 187 となっており、全ユーザーが表示・操作の対象となります。
2. アプリケーション (Applications > Applications)
   

   

   • 個別のアプリケーション統合の画面です。Super Administrator ではアプリケーションに関する全ての操作タブが表示されているのに対して、管理者ロール SalesRealm Administrator では割り当ての操作タブのみが表示されています。
   
   
   
   • また、ユーザー・グループの動作と同様に、SalesRealm Administrator では SalesRealm 所属のユーザーとログインしている管理者ユーザーへのみアプリケーションの割り当てが可能であるのに対し、Super Administrator は全ユーザーへの割り当てが可能です。
   
   以上の設定例を通じて、Realms 機能と管理者ロールによる特定の Realm に限定した管理権限の委譲について、具体的なイメージをお伝えできたかと思います。

まとめ

本記事では、Okta Identity Governance の Realms 機能について、その概要から設定例までを解説しました。

Realms は、単一の Okta テナント内でユーザーグループを論理的に分割し、部門別管理や委託先管理といったニーズに応えるための有効な機能です。カスタム管理者ロールやリソースセットと組み合わせることで、管理権限を特定の範囲に限定し、ゼロトラストの要素として不可欠な最小権限の原則に基づいたセキュアなガバナンス体制の構築を支援します。

いくつかの制限事項はありますが、適切な権限委譲と管理境界の明確化が求められる多くのユースケースにおいて、Realms は組織のセキュリティポリシー遵守と効率的なユーザー管理の両立のためにご活用いただけると考えています。

OIG シリーズでは、これからも Okta Identity Governance の多様で便利な機能を紹介していきます。ぜひ、今後の記事もチェックしてください。

Okta についてのお問い合わせ

Okta Identity Governance の導入、実践的な活用方法、ライセンス体系や価格についてさらに詳しく知りたい方は、ぜひ弊社窓口までお気軽にお問い合わせください。