良いポイント
優れている点・好きな機能
・IDプロビジョニング
・AWS Single Sign-On連携
・SAML設定、WS-Federation設定のしやすさ
・パスワードレス認証
・APIによる運用自動化(Okta Workflows)
その理由
・IaaS(AWS, Azure, Google Cloud)のユーザー管理を統合できた。
・IaaSごとに従業員を登録したり、人事異動の度に削除したり、を自動化でき、管理の手間が減った。
・難しいと思っていたSAML設定やWS-Federation設定が簡単で、短い時間で完了できた。
・指紋リーダーやFIDO2セキュリティキーを使ってログインのストレスがなくなった。
・指紋リーダーやFIDO2セキュリティキーを持っていない従業員もパスワードレスでセキュリティを強化できた。
・IaaSや従業員によって多要素認証したりしなかったりな状況をなくし、バラバラだったセキュリティレベルを統一できた。
・従業員がIaaSを利用したいタイミングで申請できるようになった(利用しなくなった従業員は自動で無効化できた)。
改善してほしいポイント
欲しい機能・分かりづらい点
・Microsoft Azureとの連携機能
・従業員が自らOktaにユーザー登録申請する機能
その理由
・Microsoft Office 365とはWS-Federationで認証連携でき、かつIDプロビジョニングもできるのに、Microsoft Azureへの連携機能が無いのが疑問であり、もっとも不満だった(どちらも連携する相手はAzure ADで同じだから可能なはずなのに設定が無かった)。それによりMicrosoft Azureを使っていた従業員が異動や退職したときにも、Oktaでそのユーザーを削除するだけでMicrosoft Azureも自動的に使えないようにできるし、Microsoft Azureでのパスワード設定と管理も不要になる。
・社内IPアドレスからのアクセスに限定し、管理者ではなく従業員が自らを登録でき、それが管理者に申請メールの形で届き、承認されたらOktaにユーザーが登録され、自動的に使いたいIaaSを使えるようになる仕組みがあれば、管理者の負担が軽減し、使わない従業員をユーザー登録しなくてよくなる。
どのような課題解決に貢献しましたか?どのようなメリットが得られましたか?
解決できた課題・具体的な効果
・それまでAWSの運用で負担だった「利用する従業員の登録・削除」と「従業員に与えるアクセス権限の管理」を分離できるようになり、退職した従業員が使える状態のまま、というセキュリティ事故の心配がなくなった。
・AWSを使うときは専用のIDとパスワードを入力し、Microsoft Azureを使うときは別のIDとパスワードを入力し、といった別々の運用をしていたため、使う側も管理する側も混乱しがちだったが、今はOktaでのみIDとパスワードレス認証すれば、すべてのIaaSを使えるようになったため、使い勝手も管理しやすさも向上した。
課題に貢献した機能・ポイント
・従業員のID管理をOktaで行えば、そのIDをAWS Single Sign-Onにプロビジョニングできるので、AWS管理チームはアクセス権限の管理のみに専念できるようになった。AWSを使う従業員のアクセス権限の設定も簡単になり、特権など強いアクセス権限の与え過ぎによるリスクの不安がなくなった。会社としてIDガバナンスを強化できた。
・Oktaのパスワードレス認証機能とSSO機能でIaaSアクセスが簡単になった。
検討者へお勧めするポイント
弊社の検討課題は「いかにしてセキュリティを強化しつつ、管理者と利用者の双方の負担を減らせるか?」でした。従業員をIaaSごとに追加したり削除したりしなくてよくなった点、使わない従業員を自動的に削除してくれる点、すべてのIaaSにログインしやすくなった点、パスワードを設定・管理しなくてよくなった点、仮にパスワードが漏洩しても心配しなくてよくなった点、従業員の場所によってセキュリティを追加できる点、知識や経験が少ない者でもOktaの管理ができた点など、検討課題をすべてクリアできたのはありがたかったです。
