プロビジョニングされたユーザーのライフサイクルについて

Okta Lifecycle Management(LCM)の一部であるプロビジョニングは、個々のユーザーの入社、異動、離職に関連したITプロセスの自動化に役立ちます。このように、ユーザーのアイデンティティがさまざまな段階をフローとして流れることを、ユーザーのライフサイクルの状態変化といいます。

従業員の役職変更、解雇、外部アプリケーションのライセンス満了など、ライフサイクルの状態を変化させるトリガーとなるイベントが発生すると、リソースへのアクセスがビジネスポリシーやセキュリティポリシーに準拠していることを確認するためのプロセスが開始します。

次の図は、一般的な従業員の在職期間中のさまざまなイベントが、どのようにユーザーのライフサイクルを変化させるかを示しています。

従業員のOktaライフサイクル。オンボーディングの段階でのプロビジョニング、従業員の移行中のポリシーとアップデートの実施、最後にオフボーディングでサイクルを終了する様子を示しています。

  • 従業員を採用

    従業員が採用されると、人事部(HR)はそのユーザーのためにアカウントを作成する必要があります。Organizationによっては、人事、情報技術(IT)、上司の構成に応じて、従業員が業務を遂行するために必要なすべてのアプリケーションやアカウントへのアクセスを許可し、Organizationのセキュリティ要件を導入強制適用することになります。クラウドベースのアプリケーションの利用が拡大する中、ITOrganizationはアプリケーションごとに多数の管理者コンソールでユーザーアカウントを管理する必要があるかもしれません。

    プロビジョニングされた環境では、Organizationのユーザーストアに新しいユーザーアカウントが作成され、ロールやプロファイルのニーズに基づいて、プロファイル情報がOktaアプリ統合を通じてすべての外部アプリケーションに送られ、新しいユーザーがアクセスするのに必要なアカウントが作成されます。ユーザーは、外部アプリケーションやディレクトリサービスからインポートすることも、Oktaで手動で作成することも可能です。

  • 従業員の昇進、ロールの変更、または異なるソフトウェアツールが必要になった場合

    このようなシナリオでは、ユーザーのアクセス要件が変わります。Organizationが再編されたり、新規事業を買収したりして、新しい従業員が加わることもあります。また、請負業者やパートナーのために、アプリ統合への一時的または永続的なアクセスを要求することもできます。

    プロビジョニングされた環境では、既存のユーザーアカウントが信頼できる情報源で更新され、新しい変更が反映されます。アップデートはOktaを通じて外部のアプリケーションに送信され、アクセスレベルの変更、グループメンバーシップの追加や削除、さらにはパスワードの同期などが行われます。これにより、外部アプリケーションのユーザープロファイルとOktaのユーザープロファイルの同期が保たれます。

  • 従業員からアプリケーションが削除された場合

    このシナリオは、何らかの理由でユーザーが外部アプリケーションを必要としなくなった場合や、アプリケーションがユーザーに提供されなくなった場合(ライセンスが失効した場合など)に起こります。ユーザーアカウントが更新され、そのアプリケーションへのアクセスだけが削除されます。その外部アプリケーションへのアクセスをデプロビジョニングすることは、コンプライアンス上の理由や、アプリケーションの正確な使用数を維持するために重要です。

  • 従業員のグループ変更

    ユーザーが特定のアプリ統合へのアクセスを提供していたグループから削除された場合、そのユーザーは自動的にそれらのアプリ統合からデプロビジョニングされます。グループのメンバーとして追加されたユーザーは、グループに付与されたアプリ統合へのアクセスを引き継ぎます。

  • 従業員がOrganizationを離れた場合

    従業員が退職する際には、担当部署(通常は人事部)が自動的にプロセスを開始し、ユーザーを完全にデプロビジョニングします。デプロビジョニングを行うことで、Organizationを去った人が機密性の高いアプリケーションやデータにアクセスできないようにすることができます。

    ユーザーのデプロビジョニングは、Oktaで直接行うことも、Active DirectoryやSalesforceなどの外部ユーザーストアから行うこともできます。

    デプロビジョニングプロセスでは、Okta Universal Directoryでユーザーアカウントが非アクティブ化され、Oktaアプリ統合へのアクセスが削除され、外部アプリケーションでもアカウントが自動的に非アクティブ化されます。いずれかのアプリケーションのユーザーアカウントを手動でデプロビジョニングする必要がある場合、管理者のダッシュボードに通知が表示されます。

  • 従業員がOrganizationに復帰した場合

    後日、従業員がOrganizationに戻ってきた場合(休暇後の復帰など)、Okta Universal Directoryでユーザーを再度有効にすると、外部アプリケーションのユーザーアカウントも再度有効にされます。

    関連項目

    ユーザーの手動追加

    グループプッシュ

    パスワードの同期

    ユーザーのデプロビジョニング