【Okta Workflows】フォルダ単位RBACがリリース!できること・設定手順・運用のコツ

» Okta » 技術
テクニカルサポート

はじめに

こんにちは、ネクストモード株式会社テクニカルサポート担当です。

Okta Workflowsではこれまでフローをフォルダごとに整理できましたが、アクセス制御は大味になりがちでした。今回、フォルダ単位のRBAC(Role-Based Access Control) がリリースされ、フォルダごとにユーザー/グループへ細かな権限付与ができるようになりました。

本記事では、できるようになったこと設定手順、そしてハマりどころを解説します。

 

今回のアップデート要点

まず、今回のアップデートについて主要なポイントを確認します。

  • フォルダ単位のRBACがリリースされ、フォルダごとにユーザー/グループへ権限を割り当て可能
  • ロール付与の対象は トップレベルフォルダ(サブフォルダは権限を継承)
  • フォルダロールは5種類:Folder Reader / Runner / Editor / Manager / Integration Builder

フォルダロールは名前だけだとイメージしづらいので、用途をざっくり整理します(細かな内容については公式ドキュメントもあわせて確認してください)。

ロール できること(要約) 想定する担当
Folder Reader 閲覧のみ 参照だけしたいメンバー
Folder Runner 閲覧+実行+実行履歴の閲覧 運用担当(実行が主)
Folder Editor フォルダ内リソースの編集 flowの作成・改修担当
Folder Manager 編集+ロール割り当て管理 フォルダ管理者(委任先)
Integration Builder Connector Builder のプロジェクト管理 コネクタ開発担当(必要な場合のみ)

 

設定手順

前提条件

  • Okta Workflows Consoleに、Super Admin もしくは Workflows Administratorの権限でサインインしていること
  • 付与対象のユーザーが、事前にOkta Workflowsアプリへ割り当て済みであること
  • 付与対象のグループが、事前にOkta WorkflowsアプリからPush Groupsにより同期していること(グループ単位で権限管理する場合に必要)

 

付与・変更・削除の流れ

  1. Workflows Consoleで Flows を開きます。
  2. 対象のフォルダを開きます。
  3. Role assignment タブを開きます。
    Role assignment タブを開いた画面
  4. Assign Access からユーザー/グループを検索し、選択します。
  5. 付与したいフォルダロールを選択して保存します。
    Assign Access(ロール選択)画面

既存割り当ては、設定アイコンから Edit role assignment / Remove role assignment で変更・削除が可能です。

既存ロール割り当ての編集/削除

 

【ハマりどころ】フォルダ単位のRBACではConnectionsが自動で使えない

フォルダ単位のRBACを有効にすると、Connectionsはトップレベルフォルダに自動では紐づきません。そのため、フォルダ内のflowが特定のConnectionを使う場合は、フォルダ側で明示的に追加する必要があります。

 

対処手順(Connectionsの追加)

  1. 対象フォルダを開き、Connections タブをクリックします。
    Connections タブ(追加操作)
  2. Add Existing をクリックします。
  3. 使いたいConnectionを選択して Saveをクリックします。

もしくはNew Connection から新規Connection作成も可能です。

 

注意:New Connection は「作成場所でスコープ(LEVEL)が変わる」

ここが一番ハマりやすいポイントです。UI上のボタン名はどちらも New Connection ですが、どこから作成したかでConnectionのスコープ(LEVEL)が変わります。

※本記事では、混乱を避けるため次のように呼び分けます。

  • 常時表示されている上部メニューの Connections から作る → OrganizationレベルのConnection(共有用)
  • フォルダ内の Connections タブから作る → FolderレベルのConnection(フォルダ専用)

このうち、フォルダ内で New Connection した場合に作成されるのが FolderレベルのConnection で、作成したフォルダに紐づき、他のフォルダからは利用できません。

そのため、複数のフォルダで同じConnectionを使い回したい場合は、FolderレベルではなくOrganizationレベルのConnection を上部メニューの Connections からあらかじめ作成しておく必要があります。

  • 既存のOrganizationレベルのConnectionを使い回したい → Add Existing で追加する
  • そのフォルダ専用のConnectionで問題ない → New Connection で作成する

 

以下の画像では、OktaはLEVEL が「Organization」となっていますが、API Connectorは LEVEL が「Folder」 になっていることが確認できます。

Connection のレベルが「Folder」

 

サブフォルダについて

サブフォルダでは、Role assignmentConnections のタブが表示されません。権限とConnectionsは トップレベルフォルダに対して設定し、サブフォルダはそれを継承 します。

サブフォルダ(設定タブなし)

 

ベストプラクティス:トップレベルフォルダ設計を先に決める

サブフォルダ側で権限やConnectionsを分けられないため、基本方針としては「分離したい単位=トップレベルフォルダ」に寄せるのがシンプルだと思います。

  • 権限を分けたい(Aチームには見せない/編集させない)→ トップレベルフォルダを分ける
  • Connectionsを分けたい(本番用/検証用)→ トップレベルフォルダを分ける

 

トラブルシュート

最後に、実際に作業進めていく上で起こりそうなトラブルと対処方法を考えてみました。

  • トラブル:flowを別のフォルダへ移動したら認証エラーが発生!

  • 対処方法:対象フォルダの Connections タブで、必要なConnectionが追加されているかを確認

  • トラブル:同じ接続を作り直してConnectionが増殖
  • 対処方法:Connectionを作成する管理者を決め、どのフォルダに追加するかをコントロールする

 

まとめ

本記事では、Okta Workflowsで新たに利用できるようになったフォルダ単位RBACについて、できること・設定手順・運用上の注意点を整理しました。トップレベルフォルダを境界に権限(Role assignment)とConnectionsを設計することで、チームごとの分離や本番/検証の切り分けを安全に運用できます。逆に、フォルダ設計や「Connectionsは自動で使えない」点の理解が曖昧なまま進めると、認証エラーや権限継承の見落としが起きやすくなります。導入前にトップレベルフォルダの方針を決め、運用ルールを共有したうえで適用するのがよいでしょう。

SaaSバナー_Okta