はじめに：Universal Directoryとは？

Universal Directoryとは、Oktaのライセンスの一つで、ユーザー情報/ディレクトリを一元管理するための機能を提供します。

Active DirectoryやLDAPなどのディレクトリを統合したり、人事システムや各アプリケーションのユーザー情報や属性も取り込み管理することができます。

▼グループルールによる自動割り当て

このUniversal Directoryにより可能になる便利な機能のうちの一つが、グループルールです。ユーザーの属性値などを元にグループルールを作ることで、ルールに一致したユーザーを自動でグループに割り当てることができます。

　

グループルール

このグループルールを使ってできることとして、事前にグループにアプリケーションを割り当てておくことで、ユーザーのアプリケーションへの認可まで自動で完了させることができます。

例えば、以下のように運用しようとした場合で考えてみます。

★営業部署の人にのみSalesforceへのアクセス権限を付与する。

★営業以外の部署に異動をしたら、Salesforceにもアクセスさせない。

---

▼①　営業部署(Sales)の人は、「Sales」グループに割り当てる。

　⇒【グループルール作成】

以下のようにユーザーの属性値などを条件にして、グループを割り当てるルールを定義します。

事前にプレビューでテストをして、期待した通りにルールが作れているか確認もできます。

設定は「ディレクトリ」>「グループ」の　"ルール"　タブより行えます。

ここでは、ユーザーの"department"の属性が"Sales"の場合は「Sales」グループに割り当てるグループルールを作成しました。

---

▼②「Sales」グループに所属しているには「Salesforce」のアプリへのアクセス権限を付与する。

"sbcas test02" のユーザーは、グループルールによってSalesグループに割り当てられ
Salesforceのアプリケーションが割り当てられている状態です。

---

"sbcas test02" のユーザープロファイルで、部署を"Sales"から"Tech"に変更します。

すると、グループルールによってSalesのグループの所属から割り当てが外れ、Salesforceのアプリケーションも自動で割り当てが解除されます。

変更はすぐに適用され、画面をリロードするとリアルタイムで反映されていることが分かります。

　

おわりに

OktaのUniversal Directoryは、統合するIDの厳選や連携するアプリケーションが多い複雑な環境であればあるほど真価を発揮してくる機能だと感じます。

グループルールについてはOkta導入の際によくご利用いただく機能の一つですが、プロビジョニング機能のLifeCycle Managementとセットで使われることが多いです。

事前に設定済みであれば、ユーザーの属性を変更するだけでグループの移動、それに伴うアプリケーションへのアクセス権限の付与、削除まで自動実行させることが可能になります。

---

※本ブログの内容は投稿時点での情報となります。
　今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください