はじめに

こんにちは。

私の同僚が最近、Oktaについてブログ記事を書いていました。

こんにちは Okta

Oktaに興味を示す人たちというのは、典型として、どんな会社の、どんな状況にある人たちなのか、そして、どのような悩みが解決されるのか、それをストーリー仕立ての会話体で書いてみたら面白いかなと思い、ちょっと書いてみました。いちおう、シリーズものを考えてます！

第一話：外部クラウドサービスのユーザー管理で悲鳴を上げる

ここは、昨今、急成長を遂げているスタートアップ企業の社内。当初は社員5名のとても小さな会社であったが、サービスの急激な拡大とともに人員を増強。毎月10名単位で増え続け、気が付けば、社員200人を超える、それなりの規模の会社になりつつあった。
アプリケーション開発がメインの会社で、社長以下社員の殆どは開発者かエンジニア。
社内で情シス的な役割を片手間で果たしているのは、SE出身の、創業メンバーである二人。開発については卓越した知識を誇るが、情シス的なことに関しては素人同然。現在のところ、場当たり的な手作業で、どうにか凌いでるのが現状である。

社内の業務で利用している外部クラウドサービスは意外に多い。Microsoft 365、Google Workspace、Slack、Zoom、AWS、Sansan、奉行クラウド、Mail dealer 等々、ざっと8サービス。これらは、現時点のところ、力技で、それぞれのサービスに200名分のユーザー情報を登録して、運用している。

――「うわ、今月もまた、新入社員が10名入って来るんだってさ」
「マジか。また、ユーザー追加作業で、残業ぢゃんか。8箇所に10名分のユーザー登録を繰り返さないとならん。もはや修行だわ」
――「あと、今月で3人ほど、辞めるらしい。8箇所から3人のユーザーを無効化しないと」
「うわぁ……」
――「そうそう、この前さ、ユーザー登録、けっこう間違ってたぜ。ユーザーIDが違うやつとか、パスワード間違ってるとかで、ログイン出来ないっつって、文句言いに来たのが何人もいた」
「んなこと言ったって、数が多いんだから、間違いも増えるよな……」
――「この状況、何とか、ならんのかい……」

第二話：OKtaとの出会い

そんな二人のところに、ある日、AWS請求代行サービスを提供している会社の営業担当が挨拶回りに来た。世間話に花が咲き、気を許した二人は、外部クラウドのユーザー管理で頭を抱えていることについて打ち明けた。

――「ああ、それなら、Oktaで解決できますよ」
と、その営業は言う。
「え？ Okta、ですか。何ですか、それは？」
――「SSOって聞いたことがありますか。シングルサインオンです。Oktaにログインしておけば、そこからワンクリックで、複数のWEBアプリケーションにログインできるようになります」
「でも、それでどうして、我々の悩みが解決できるんです？ 私にはいまいちよくわからない」二人は興味津々だ。
――「ところで、Active Directoryはお使いですか。これだけ社員数が多くいれば、社内のWindows PCの管理は大変でしょう」
「つい最近、苦労して導入しました。実は、今まで使っていなかったのですが、あれはなかなか便利ですね」
――「OktaのSSOは、ADで管理しているユーザー情報を利用することが出来るんですよ」
「！？」
――「ADのドメインユーザー管理で、ユーザーを一人追加したら、OKtaを通して、SSO連携先のWEBアプリケーションに自動でユーザーが追加されるのです」
「なんと！」
――「逆に、ADのドメインユーザー管理で、ユーザーを一人無効化すると、OKtaを通して、SSO連携先のWEBアプリケーションから自動でユーザーが無効化されます」
「OMG!!!!!! じゃあ、それを使えば、我々の悩みが一気に解決されるじゃないですか！」
――「そうなんです、ちなみに、このユーザーID連携のことをプロビジョニングと言って、Oktaは、プロビジョニング可能なサービス数が業界ナンバーワンなんです」
「プロビジョニング？ ああ、ラテン語の providere （予見する）に由来する言葉ですね。前もって（pro-）、見る（videre）」
――「あ、それはよくわかりませんが…（汗）確か、英語で provision は「準備」「提供」ですね。要は、あるシステムを使うために必要なユーザー情報を入れておくことを意味するのでしょう」
「で、それいくらなんですか。詳しい話を聞かせて下さい！」

補足

会話の中で、Windows の Active Directoryの話が出て来ましたが、Oktaを使う上で必須というわけではありません。もしも、ADを運用していない場合は、Oktaの管理画面でユーザー管理（追加・無効化 etc.）すれば、その情報は、プロビジョニング先のクラウドサービスにも反映されます。

話のポイント

• Oktaを入れると、外部クラウドサービス側のユーザー管理がラクになる（しなくてもよくなる）
• 社内で既に使っているActive Directoryをユーザー情報のマスタ・データとして使うことが可能
• ADを使っている環境で、ドメインユーザーの追加・変更・無効化を行うと、Oktaを通して、自動で連携先のクラウドサービスにユーザー情報の追加・変更・無効化が反映される
• 元となるユーザー情報を他システムに連携・同期することをプロビジョニングという
• Oktaは、同じようなSSO製品の中でも、プロビジョニング連携先アプリケーション数ナンバーワン

次回予告

今回のお話の社内で利用している外部クラウドサービスのうち、Google Workspace, AWS, Slack, Zoom は、Okta内に専用テンプレートがあるため、比較的容易に導入することができます。また、テンプレートがないものも、SAMLが使えるのであればOktaと連携することが可能です。この辺のお話については、次回詳しく取り扱います。