グループについて

メール、ファイルサーバー、ビジネスアプリケーションなどのネットワークベースのサービスにアクセスするには、すべてのユーザーが認証を受けなければなりません。ユーザーのアクセスを個別に管理するのは時間がかかるほか、非効率的です。グループを使用すると、グループのアクセス権の変更がグループの全メンバーに自動的に適用されるため、ユーザー管理の簡素化が可能になります。

ユーザーを共通の特徴に基づいてグループ化することができます。たとえば、営業チームが共有する営業資料にアクセスしやすくするために、「Sales」 という名前のグループを作成し、グループメンバーにorgのファイルサーバー上にある 「Sales Documentation」 フォルダへのアクセス権を付与することができます。

グループは、ID管理システムの重要なツールであり、グループデータは通常、ディレクトリに格納されています。大部分のアプリケーションは、アプリケーションレベルで、またはアプリケーション内で特定のリソースに対するグループをサポートしています。

Admin Consoleの[Groups(グループ)][Directory(ディレクトリ)][Groups(グループ)])ページでグループを検索するときに、グループの完全名または部分的な名前でグループを検索することができます。グループ名の一部を検索すると、そのプレフィックスに一致するグループのみが検索されます。たとえば、「Group 1(グループ1)」という名前のグループがあるときに、部分検索語として「1」を入力しても、検索結果は返されません。部分検索語として「Group(グループ)」を入力した場合、「Group(グループ)」で始まるすべのグループが検索されます。

アプリケーションポリシー

アプリのサインオンルールを使用すると、アプリへのアクセスを特定のネットワーク上の場所に制限したり、多要素認証(MFA)の使用を強制したりすることができます。アプリのサインオンルールのスコープはグループに限定することができます。リモート、派遣社員、または契約社員にMFAを導入するためのポリシーを設定できます。

アプリケーションとディレクトリのグループ

Oktaでは、1つのディレクトリでグループメンバーシップを定義し、接続された複数のシステムでグループを使用できます。オンプレミスのシステムでは、アプリケーションは一元管理のディレクトリに接続し、グループのクエリを実行できます。クラウドアプリケーションでは、共通のActive Directoryがないことが多いものの、Oktaの「グループをプッシュ」機能を使えば、このようなタイプのアプリケーションでもグループを使用することができます。

Okta管理者

Oktaでは、orgのすべての管理者は自動的にOkta Administratorsというグループに追加されます。Okta Administrators機能を利用することで、orgのすべての管理者に自動的に適用される新しいサインオンポリシーを作成できます。

Okta Administratorsグループはサインオンポリシーにのみ割り当てることができます。アプリに割り当てることはできません。すべての管理者がこのグループを表示できますが、このグループを使用できるのはグローバルポリシーを設定しているスーパー管理者のみです。セキュリティ上の理由により、このグループのメンバー数は表示されません。

SAML JITグループプロビジョニング

SAMLサインオンプロセス中にグループのプロビジョニングを実行できます。これは、以下のような場合に推奨されます。

  • 既存のグループへのユーザーの追加
  • 新しいグループの作成
  • グループメンバーシップの管理
    プロビジョニングの設定はありません。グループ情報は、ユーザーがターゲットアプリにサインインする際にSAMLアサーションで送信されます。この場合、正規表現を使用して必要なグループをフィルタリングする必要があるグループプッシュよりも柔軟性が低くなります。この方法の利点は、SAMLテンプレートの一部として利用できることです。ターゲットアプリケーションがSAMLによるグループ情報を受け入れると、グループプッシュを実装するためのエンジニアリング作業を必要とせずにテンプレートを構成できます。

ユースケース

これらのユースケースは、Oktaがどのようにしてグループを管理するかを示しています。

ターゲットアプリケーションでのユーザーのプロビジョニング

プロビジョニングをサポートするアプリケーションは、グループメンバーシップを使用して、どのユーザーアカウントが作成、アップデート、削除、またはディアクティベートされるかを決めることができます。プロビジョニングの設定が完了したら、アプリケーションにグループを割り当てます。グループのメンバーはターゲットアプリケーションで自動的に作成されます。

サービスによっては、新しく作成したユーザーに割り当て可能な追加データを提供する場合があります。たとえば、プロビジョニングを有効にしたSalesforceアプリケーションにグループを割り当てた場合、グループ内のユーザーに割り当てるSalesforceのロールとプロファイルを選択できます。

ADグループのBoxフォルダへのマッピング

ファイルへのアクセス制御にADグループを使用している企業が、ファイル共有のためにBoxに移行しています。Boxには、オンプレミスのファイルサーバーと同じ、または類似した階層を反映したフォルダが作成されています。グループはOktaにインポートされ、さらにグループプッシュを使ってBoxに送られ、そこでコラボレーションフォルダに割り当てられます。