グループについて

Eメール、ファイルサーバー、ビジネスアプリケーションなどのネットワークベースのサービスにアクセスするには、すべてのユーザーが認証を受けなければなりません。ユーザーのアクセスを個別に管理するのは時間がかかるほか、非効率的です。グループを使用すると、グループのアクセス権の変更がグループの全メンバーに自動的に適用されるため、ユーザー管理の簡素化が可能になります。

ユーザーを共通の特徴に基づいてグループ化することができます。例えば、営業チームが共有する営業資料にアクセスしやすくするために、 「Sales」 という名前のグループを作成し、グループメンバーに組織のファイルサーバー上にある 「Sales Documentation」 フォルダへのアクセス権を付与することができます。

グループは、ID管理システムの重要なツールであり、グループデータは通常、ディレクトリに格納されています。大部分のアプリケーションは、アプリケーションレベルで、またはアプリケーション内で特定のリソースに対するグループをサポートしています。

管理コンソールの[Groups (グループ)]([Directory (ディレクトリ)] > [Groups (グループ)])ページでグループを検索する際、グループの完全名または部分的な名前でグループを検索することができます。グループ名の一部を検索すると、そのプレフィックスに一致するグループのみが検索されます。 例えば、「Group 1 (グループ1)」という名前のグループがあるときに、部分検索語として「1」を入力しても、検索結果は返されません。 部分検索語として「Group (グループ)」を入力した場合、「Group (グループ)」で始まるすべのグループが検索されます。

アプリケーションポリシー

アプリのサインオン ルールを使用すると、アプリへのアクセスを特定のネットワーク上の場所に制限したり、多要素認証(MFA)の使用を強制したりすることができます。アプリのサインオンルールのスコープはグループに限定することができます。リモート、派遣社員、または契約社員にMFAを導入するためのポリシーを設定できます。

また、この機能を使ってグループを除外することもできます。 この機能は、グループのユーザーがどこからでもアプリにアクセスできるようにしますが、ユーザーは企業ネットワーク上にいることが推奨されます。 「アプリケーションレベルの多要素認証」を参照してください。

アプリケーションとディレクトリのグループ

Oktaでは、1つのディレクトリでグループメンバーシップを定義し、接続された複数のシステムでグループを使用できます。 オンプレミスのシステムでは、アプリケーションは一元管理のディレクトリに接続し、グループのクエリを実行できます。 クラウドアプリケーションでは、共通のActive Directoryがないことが多いものの、Oktaの「グループをプッシュ」機能を使えば、このようなタイプのアプリケーションでもグループを使用することができます。

SAML JITグループプロビジョニング

SAMLサインオンプロセス中にグループのプロビジョニングを実行できます。 これは、以下のような場合に推奨されます。

  • 既存のグループへのユーザーの追加
  • 新しいグループの作成
  • グループメンバーシップの管理
    プロビジョニングの設定はありません。 グループ情報は、ユーザーがターゲットアプリにサインインする際にSAMLアサーションで送信されます。この場合、正規表現を使用して必要なグループをフィルタリングしなければならないグループプッシュよりも柔軟性が低くなります。この方法の利点は、SAMLテンプレートの一部として利用できることです。ターゲットアプリケーションがSAMLによるグループ情報を受け入れると、グループプッシュを実装するためのエンジニアリング作業を必要とせずにテンプレートを構成できます。

ユースケース

これらのユースケースは、Oktaがどのようにしてグループを管理するかを示しています。

ターゲットアプリケーションでのユーザーのプロビジョニング

プロビジョニングをサポートするアプリケーションは、グループメンバーシップを使用して、どのユーザーアカウントが作成、アップデート、削除、またはディアクティベートされるかを決めることができます。プロビジョニングの設定が完了したら、アプリケーションにグループを割り当てます。グループのメンバーはターゲットアプリケーションで自動的に作成されます。

サービスによっては、新しく作成したユーザーに割り当て可能な追加データを提供する場合があります。例えば、プロビジョニングを有効にしたSalesforceアプリケーションにグループを割り当てた場合、グループ内のユーザーに割り当てるSalesforceのロールとプロファイルを選択できます。

ADグループのBoxフォルダへのマッピング

ファイルへのアクセス制御にADグループを使用している企業が、ファイル共有のためにBoxに移行しています。Boxには、オンプレミスのファイルサーバーと同じ、または類似した階層を反映したフォルダが作成されています。グループはOktaにインポートされ、さらにグループプッシュを使ってBoxに送られ、そこでコラボレーションフォルダに割り当てられます。