【Okta】Okta New Logo# of the Year受賞してたことだし、もう一度自慢ついでに過去のブログのまとめブログを書いてみる

Nextmode株式会社はOktaのパートナーとして広くOktaの情報を発信し、多くの企業のOkta導入のお手伝いをさせていただいています。

と同時に、社内実務でもID統合管理(IDaaS）であるOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています。

自分で使って、その良さを実感的できない商品を他社にお勧めすることはできないですからね。。。。

自社で採用し、運用上の課題や疑問点を解決したうえで、よりよい提案をクライアントに対して提案していく、それがNextmodeのスタンスとして進めてきています。

その結果、少し前の情報になりますが昨年、めでたく

Okta New Logo# of the Year

を受賞することが出来ました。

ど～～～ん！！

？？？なんだその”Okta New Logo# of the Year”ってのは？？と疑問を持たれた方のために補足説明しておくと、

真面目に書くとこんな感じ。上記の通り日本で一番新規顧客へOktaを販売したぜ！！ってことです。

でもね～、、なんでしょうってか我がNextmode 株式会社、どうした。。リンクの通り当時こっそりプレスリリースは出しましたが、あまり大声で自慢してないんですよねー。

日本で一番新規のお客様にOktaを導入したって認められたにもかかわらず、同業他社は日本を代表するエンタープライズ系企業が居並ぶにもかかわらず、、ですよ。

ん～～～、奥ゆかしいというか商売下手というか。。。人見知りかよ！！　と、、いう事で、今一度”とったぜぃ！！”と声を大にして自慢するとともに、これまで、Nextmode が発信してきたOkta関連情報を見直していこう！。。というまとめブログww。

Google先生に質問をしても、PR記事ばっかりが上位にきてOktaについて、何ができるのか、どうすればいいのかの回答が見つからない、という方にもお役に立つ情報かと思います。

なんせほら、日本で一番新規顧客を開拓した会社の情報ですからｗ。。。

今一度Oktaについて

Oktaとは、IDaaS（identity as a service）と呼ばれる、クラウド経由でID認証ならびIDパスワード管理、シングルサインオン (SSO)、アクセス制御などを提供するサービスです。

IDaaSを導入することで得られるメリットは多岐にわたりますが、その中でも代表的なものは以下になります。

・コストの削減

・パスワード管理の利便性向上

・セキュリティの強化

すでにオンプレミス環境にActive Directoryなどの認証基盤を構築運用している企業はたくさんありますが、そのため専用のサーバーの準備から構築・運用するため、専門知識を持った人員の確保を含めた多大なコストを必要としています。

しかしIDaaSは認証基盤をクラウドサービスとして提供しているため、これらのコストを大幅に削減できます。

また、シングルサインオンを実現できるので、ユーザー毎の個別のパスワード管理が不要になるとともに管理者の運用負担も期待できます。

さらにOktaは決して信頼せず、常に確認するという「ゼロトラスト」を前提に、アプリ、ネットワーク、デバイス、位置情報などを活用し、「誰が」「どこから」「どのデバイスで」「どのアプリに」アクセスしようとしているかを判定しているため、セキュリティを強化することにつながります。

既存環境との融合

とはいえ、多くの企業では前述のとおり、Active Directoryをはじめとした認証基盤はすでに導入されているはずで、導入を検討する担当者にとっては、自社の既存システムと整合性を確保した上で導入することが出来るのかどうか気になるところだと思います。

そういった声にお応えするべくNextmodeでは過去にいろいろな環境とOktaとの融合について情報を発信してきました。

これから過去のブログを振り返りながら、様々な環境にOktaを導入する際の疑問点を再確認していきます。

WindowsとMacのMFAに追加する

最近では端末にMFA（Multi-Factor Authentication）=多要素認証を利用する機会も増えてきていると思います。

Windows マシンでは、Windows Helloと呼ばれる指紋認証または顔認証を使って、パスワードを入力せずにWindowsにサインインできる認証機能があり、AppleマシンにはTouch IDと呼ばれる指紋による生体認証機能があります。

Oktaを導入する上でこういった認証方式と共存する方法をこちらにまとめてあります。

このプロセスを実行することで、OktaのWindows Hello/Touch IDを利用した顔認証や指紋認証を使ったログインがOktaを導入した組織内でも利用可能となります。

OktaとのインテグレーションがあるSaaSとの連携

NextmodeではSaaSやWebへのアクセスの際にNetskopeを経由する構成を取り、通信の可視化や制御を行っています。

ここで紹介するブログでは、Netskopeを例にOktaとのインテグレーションがあるSaaSとの連携方式について説明しています。

NetskopeとOktaの導入を検討している企業、OktaとのインテグレーションがあるSaaSをすでに導入している企業がOktaを導入する参考になると思います。

OktaとSaaSのIDが異なる場合の解決策

ちょっと、特殊な例になるかもしれませんが、導入時期によってはSaaSにログインするIDとOktaのログインIDが異なる場合が発生するかもしれません。

例えばすでに先行導入している基幹システムへのID統制がなされているといったことも考えられます。

こういった場合の解決策についてユースケースごとに例示して解決策を提示したブログをすでに発信しています。

ここでは、その柔軟な機能をつかって、複雑なID管理の解決策を提供しています。

すでにGoogle Workspaceを採用している企業向けメーリングリストの自動登録

このブログをご覧の皆さんの企業の中には、自社メールにGoogle Workspaceを利用されている方も少なくないと思います。

OktaからGoogle Workspaceにユーザーの自動プロビジョニングをする方法についてはあえて触れる必要もないか（標準で用意されています）と思いますが、ここではメールリングリストに自動で追加する方法を公開しています。

NextmodeでもOkta導入当初、メーリングリストへは手動で追加登録をしていました。ユーザー数の多くない企業ならそれほど苦にならない作業かもしれませんが、ユーザー数が増えてくるとかなり面倒な作業になるかと思います。

このブログを参考にひと手間かけることで、プロビジョニングの際に自動的にメーリングリストに追加することが可能になります。

ぜひ参考にしていただければと思います。

SAML認証を利用したログイン方法

SAML（Security Assertion Markup Language）とは、XML ベースのSSO（シングルサインオン）等を実現する標準規格の事です。SAMLを利用すると別々のドメイン間であってもユーザーの属性や権限といった認証に必要な情報のやり取りを行うことが出来ます。複数のSaaSをはじめとしたクラウドサービスを利用している企業の場合、ユーザーはサービス毎にログインをやり直したり、場合によっては異なるログインID/パスワードを管理する必要があり、ユーザーの負担が増したり、忘れないために取ったメモが漏洩の原因になることも考えられます。

SAML認証を利用してSSOを実現することで、ユーザーは一度の認証で複数のサービスにログインすることが出来ますので、ユーザーの負担を大幅に低減することが出来ます。

このブログでは、Nextmodeで利用しているOktaとNotionの利用を例にSAML認証でSSOを実現する設定について解説しています。

Okta導入することで、手軽にSSOを実現する方法を確認できます。

SCIMでユーザープロビジョニングを実現する

SCIM(System for Cross-domain Identity Management)2.0に対応したアプリではSCIMでのユーザープロビジョニングが可能です。

このブログでは、Notionのエンタープライズプラン＋OktaのUniversal DirectoryとLifecycle Managementというライセンスが必要という条件付きにはなりますが、OktaからNotionへのユーザーの自動プロビジョニングの設定方法について記載しています。

上記のSAML認証とセットで設定することで、情報管理とユーザー環境を劇的に改善することが出来ます。

Oktaの統合機能に用意されていないクラウドサービスを管理する

Oktaには、OIN（Okta Integration Network）と呼ばれるあらかじめ用意された統合機能があり、現在、7,000以上のクラウドサービスに対応しています。

裏を返すと、このOINに対応していないクラウドサービスはOktaでは管理できないのではないか？とご心配になる方もいらっしゃるでしょう。残念でした。Oktaには、様々なWebサイトを取り込めるように、いくつかのテンプレートがあらかじめ用意されています。これを活用して、OktaでOIN未対応サイトを利用する際のHow to、さらには、様々なケースに対応する方法について発信してきたブログがこちら。

これを見れば、OINに対応していなくとも、大抵のWebサイトを収容できるようになります。

OktaをAmazon WorkSpacesのMFAとして利用する

少々、ピンポイントなブログになるかもしれませんが、意外とOkta導入の検討の際に気になると思われる事例について書いたブログがこちら。

EC2上にActive Directory、ADコネクターごしにAmazon WorkSpaces環境が立てつけられているという環境を想定して、Amazon WorksSacesのログイン画面にMFA（Multi-Factor Authentication）=多要素認証　コードの欄を増やして、Active Directory由来のユーザーでもOktaのMFAを使えるようにしましょうっていうtips。

意外とチョー簡単らしいっすよ。

まとめのまとめ

。。ということで、まとめブログのまとめ。

Oktaはむつかしい、、という印象を持っている方もたくさんいらっしゃると聞きますが、こうやってまとめブログを眺めてみると、”意外と簡単に設定できるじゃん。”と思ってもらえるのではないかと思います。また、過去発信済みトピック以外にもNextmode内にはOkta活用の為のアイデアが豊富に蓄積されています。Okta導入を検討されている企業担当者の方はぜひご一報ください。

Nextmodeではこれからも自社提供SaaSのトピックを発信していこうと考えています。乞うご期待！