こんにちは。 kajinari です。

Oktaのユーザ事例として、『シングルサインオンだけではない、Okta導入による大きな変化』tと題して、Oktaが毎年開催しているフラッグシップイベント「Showcase」の日本版として、「Showcase Japan 2021」にオンラインで登壇致しましたので、その資料を公開します。

Okta導入による大きな変化

Okta導入によるアドバンテージは、Single Sign On 化する事によるセキュリティの向上以外にも、連携SaaSへのアカウント作成の自動化も大きなアドバンテージになります。ユーザ事例として、それにフォーカスして資料にまとめました。 ご確認頂ければ幸いです。

ロール毎に必要な権限・アプリを定義するのが効果的。

資料でも触れておりましたが、ロール(役割)ごとに。必要なSaaSを定義し、割り当てるのが効果的かと思いました。
きれいに定義でき無い場合は、複雑にしすぎているか、設計の前提に問題があることが多いかと思います。

2021年7月28日 に実施された ZOOM主催(ZVC Japan)の「Zoom 活用スタンダード化のその先へ」と題されたWebinarにてお話させて頂いた登壇資料を公開いたします。

COVID-19により、リモートワーク主流に。これは不可逆な変化になる。

話の内容としては

  • 対面による情報量の多さ、深さは認めた上で「どう上手くやるか?」にフォーカスする
  • その上で、どうしたらスムーズに必要なコミュニケーションの質を落とさないで済むのか。
  • 社内での活用事例

などを前半にお話しました。

PLAIDにおけるZOOMインテグレーション事例

ライセンスの自動付与のインテグレーションについて紹介

社員は、Oktaからボタンを押すだけで、承認等挟まず自動的に有料ライセンスに変更されるインテグレーションを開発しました。

こんにちは kajinari です。今回も最近続いてるOktaシリーズです。

本業では、Oktaを導入し、アカウント管理や権限管理を全ての業務を現場で回し、権限設定を自動化するプロジェクトが進んでいます。
その一環で、Miro のアカウント管理をアカウント作成&チームへのアサインの自動化を実施しました。

このサービスも日本語による解説が少なかったのでまとめてみました。

Miroとは

オンライン・ホワイトボード機能が便利なツールで、リモートワーク環境下では、無いとツラいツールのひとつじゃないかなーって思います。
実際リモートチームで、ふりかえり(KPT)で活用しているけど、めっちゃ便利だよ。

Miro Enterpriseのアドバンテージ

簡単に紹介すると、以下のようなアドバンテージがあります。

Teamを複数持てる。

GitHub 、NotionなどをEnterprise化した時と同じで複数Teamを制限なく持つことができて、ユーザが複数チームに所属しても、1アカウントとして課金されるようになります。(Teamプランだと、都度その分課金される。)

こんにちは kajinari です。 Notion Entepriseを契約したので、SAML / SICM を使って、シングルサインオンを実装した時のログになります。

日本語での記事が少なかったので、備忘録代わりに残して見ようと思います。

Notionのマニュアルはこちらです。

Notion Enterpriseを契約する

シングルサインオンのサポートは、Enterprise Plan から利用でき …

どうも kajinari です。
今回のエントリーも Okta 関連のエントリーです。
GitHub と Oktaを連携したら、アカウント作成、削除の自動化ができるようになりました、「アカウント招待して下さい!」という不毛なやり取りが無くなりました。

次のステップとしては、GitHub Enterprise Cloud において、Teamのメンバ …

どうも kajinari です。

GitHubをOktaと連携したくて調査してた時に、Github Enterprise Server(オンプレミスのやつな)の記事はいくつかあったのですが、シングルサインオン(SSO)やってみた体験を言及しているブログが少なかったので、書いてみることにしました。

皆さんの何かの助けになれたら幸いです。

なぜシングルサインオンを?

当然ながら、GitH …

モダンなコーポレートIT界隈から、未だにVPNとか使ってるの?と突っ込まれそうなのだけど、 VPN設定を配布する必要があったので記事として残しておきます。

なぜVPNを?

協業相手WebサービスがIPアドレスベースで制限をかけているため、弊社オフィスネットワークのインターネット回線のIPアドレスでアクセス制限を解除していました。

リモートワーク中なので、自宅からも先方のWebサービスにアクセスする必要があります。
そのため、VPN確立することで、弊社オフィスネットワークを経由し、先方Webサービスへアクセスすることで問題解決しようと考えました。

環境

  • IdP:まだない。(現在、構築中)
  • VPN:Cisco Meraki MX
  • MDM:Jamf Pro

前提として、Jamf ProにPC毎に利用者を割り当てしている事を前提にしています。

Meraki VPNの設定

Security & SD-Wan ➔ Client VPNが設定画面です。

Cline VPN Server :

VPN機能を有効にするため、 Enalbed にする

Subnet

  • VPNを確立した後に、クライアントに割当されるネットワークレンジになります。
  • 社内ネットワークと被らないサブネットを定義すれば良いです。
  • ネットマスクは最大同時利用数に応じて考えれば良いです。

DNS

  • 社内にDNSを建てる環境であれば、そのDNSサーバアドレスを
  • 通信先がすべてインターネット上にあるならば、 Google Public DNS でも良いでしょう。 8.8.8.8 などが割当されます。

WINS

  • WINS利用しているなら、 Specific Server Address を選択して、そのアドレスを入力しましょう。
  • VPN確立時にDHCPで配布されます。

Shared secret

  • 共通鍵のパスフレーズです。適当な長さのパスフレーズを設定しましょう

Authentication

  • ここは Meraki Cloud Authentication , Active Directory , Radius から選択できます。
  • IdPがあれば、Radiusなどを選べば、SSOできてなお良しですね。
  • 今回は、Meraki Cloudを選んで、ユーザをMXに直接追加する方法を選択しました。

Slackが会社の中に浸透してくると、協業先、ベンダー、パートナー等社外のコラボレーターとのコミュニケーションもSlackでやりとりしたくなりますよね。

「Slackコネクト」がローンチされて、相互にSlackを契約している場合は、基本的に「共有チャンネル」を作成して、相互のSlackオーガナイゼーションが連携され、そのチャンネルに双方の関係者を招待することで、コミュニケーションできる様になります。

ただし、Slackコネクトは双方共にSlackを契約している必要がありますので、先方がSlackを契約していない等の時は、自社のオーガナイゼーションにゲストとして招待する運用をしています。

Slackコネクトを推奨する

あくまでもゲストアカウントとして招待するのは、Slackコネクトが利用できない時に限り許可しています。それは以下に挙げられる利点及びセキュリティ上の懸念があるためです。

会話履歴の保持
ゲストの場合、協業を解消してアカウントを無効化されたら、二度と会話履歴にアクセスできなくなります。ゲストで参加している場合、情報のコントロールを先方に委ねてしまう事になります。
Slackコネクトは、双方でSlackチャンネルが作成される形になるので、接続を解消しても会話履歴が残りますので、Slackコネクトが双方にとって良いと思います。

確かな本人確認
Slackゲストアカウントは、アカウント名とパスワードでログインすることが出来ます。そのため使ってもらいたい本人が、そのゲストアカウントを使っているとは限りません。
Slackコネクトの場合は、先方のSlackオーガナイゼーションで使っているアカウントを利用します。そのため先方のAさんが偽られる事は無いでしょう。(他の人に自分のDMの会話内容を見せられます? 僕は無理です 笑)

関係者が増えても、現場・管理者の負担は増えない
ゲストの場合は、管理者にリクエストし・承認が必要になります。
Slackコネクトの場合は、チャンネルに招待するのと同じ手順で実施すれば良いだけです。承認待ちなどの無駄な時間は不要です。
管理者としても、ゲストアカウントの棚卸しや、アクセス権限の抹消などの手間が不要です。

ゲストアカウントで運用する場合と比較し、セキュリティ上も運用上も、Slackコネクトが利点があるのを分かって頂けると思います。
未だに、セキュリティレギュレーション上、Slackコネクトが使えないとしている組織が居ますので、ぜひ考えを改めてもらいたいです。

Slackコネクトの効率的な承認

効率的に共有チャンネルを確立させるために以下の様な運用をしてます。

  • 共有チャンネルの作成のリクエストは誰でもできる
  • 共有チャンネルを承認できるのは、オーナーだけ
  • 特定のチャンネルに送信する。

12月8日に開催された、Jamfのユーザグループにて登壇しました。その資料になります。

オンラインでの登壇でした。Jamf Proは初期設定時にいろいろ考える事が多かったので、その検討する際の判断基準などをまとめました。
参考になれば幸いです。

また、Todoをまとめた「Jamf Pro導入TODO(サンプル)」をTrelloのテンプレートで公開しているので、参考にできる所があれば幸いですー。

Jamf Pro導入TODO(サンプル)

下記がテンプレートです。

参考になれば幸いです。

以上です。

このブログは、コーポレートエンジニアSlackのAdvent Calendarの第一弾です。 12/1 のトップバッターさせていただきます。明日は、enpipiさんです。
このブログを書こうと思ったきっかけは、日本語の記事を見かけなかったので、記録のためアウトプットさせていただきます。

このエントリーを閲覧したということは、皆さんJamf Proは …

Narichika Kajihara

Agileコーチとして、開発チームのチーム・ビルディングを担当し、チーム支援を行っている。 その他には、モダンな情報システム担当、エンジニア採用、技術広報など

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store