今回は社内でのアドベントカレンダーでの記事です。
導入したOktaのあれこれになります。
7kajiさんがOktaを通じてのあれこれやってみた記事書いてますのでそちらもご覧ください!
14日にも記事を出すのでそちらも見ていただけると!!
目次
- 1.Oktaへの切り替えの背景
- 2.導入準備
- 3.展開、運用直後のトラブル
- 4.よかったこと、後悔したこと
- 5.おわりに
1.Oktaへの切り替えの背景
入社したタイミングでは別のIDPを使用していました。
そのタイミングではもう既にOktaへの切り替えの話が進んでいたのですが、
切り替えの背景としては下記になります。
- 利用しているIDPが管理者側としてものすごく運用しづらい
- 連携しているのがGoogle Workspaceのみ
- 証明書発行するタイプで、年に1度更新し全ユーザーに更新してもらう必要があり、手順も複雑
導入自体は既に決まっていたのですが、私が入社した時点ではこのような感じでした。
他の要素もあったかもしれませんが、おおまかな理由としてはこのような形です。
また、GENDAでは日々M&Aによって会社が増えていきます。
Oktaには合併や買収に対応するアーキテクチャがあり、Hub&Spokeなどの機能もあることからOktaとの相性が良いと考えました。
こういった背景があり、既存のIDPからOktaへの導入が進みました。
2.導入準備
導入自体は実はすんなりと導入できました。
連携しているサービスがGoogle Workspaceのみであったことから、
他のサービスに連携しているところがなかったため設定自体はすぐに終わりました。
手順書は公式なもの、
情シスではお馴染みの株式会社クラウドネイティブから出ている記事を参考にしております。
元々管理していた部門が総務部門だったこともあり、
Google Workspaceの組織部門の整理なども合わせて実施などもしましたが
時間的にはそんなに時間がかかりませんでした。
これはそもそもの導入前の条件が複雑でなかったことが起因しているので、
運が良かったなと思っております。
一旦はプロビジョニングやグループ設計をしつつ、
Google Workspaceのみを連携するところのみを実施することにしました。
OktaとGoogle Workspaceの良いところとして、
一部の組織部門のみに設定などができるので、
Google Workspaceの本番環境で一部に対してテストできるところは凄く楽でした。
お陰で設定当日は問題なく実施することができました。
3.展開、運用直後のトラブル
展開自体は問題なく展開でき、手順書も特に質問もなくスムーズに設定していただくことができました。
よし!と思った1ヶ月後に下記のような問い合わせが多数発生しました。
「スマホからアカウントがログアウトされ、
Authenticatorアプリからもログアウトされたためログインできません」
何が起こったのか
軒並みスマホにログインしていた弊社のアカウントがほぼ全てログアウトされたのですが、
理由としては
- Oktaへの切り替え時に以前のIDPの情報がキャッシュとして残っており、
証明書の有効期限が切れ一斉にスマホのみログアウトされた - AuthenticatorアプリはGoogleAuthenticatorアプリを使用し、
弊社のアカウントでログインしていたアカウントに登録していたため、
ログアウトされコード自体見れなくなってしまった
Oktaへの切り替えをやる時点でPCのみの手順を出しており、
スマホへのログインし直しなどの手順は明記しておりませんでした。
また、Okta VerifyではなくGoogleAuthenticatorを何故か採用してしまったこともあり、
かつAuthenticatorアプリへのログイン手順を明記してたこともあり、
そこからもログアウトされたことでログイン自体が不可能になりました。
対象者にはAuthenticatorへのコード再発行、再登録の手順を実施しましたが、
問い合わせが大量に来たため失敗したなという経験になりました。
※当事者の方々すみませんでした
4.よかったこと、後悔したこと
導入してよかったこと
- ユーザー作成、削除が楽になった
- 別サービスに連携しやすくなった
- プロダクトの開発環境に対してOktaで管理できるようになった
プロビジョニングによって作成や削除が楽になり、棚卸自体も楽になりました。
また、Oktaはカタログもそうですが各種サービス側がOktaへの連携の手順書や環境を
用意していることから設定もしやすく、切り替え前よりもできることが増えています。
プロダクトの開発環境なども、開発側の方々と話をしOIDC、OAuth2.0で
準備してもらうみたいなことも少しずつ始めています。
Slack上でOktaに関わらず、OIDCやOAuthなどの情報交換チャンネルも作成しました。
こうしておけばよかったなどの後悔したこと
- 導入時にスマホの切り替え作業も提示する
- Okta Verifyの採用
スマホの切り替え作業の未実施は私の事前準備のミスなのでシンプルに後悔しております。
Authenticatorアプリに関しては、Google Authenticator自体は悪くないのですが、
Okta Verifyの方ができることが多いです。
また、Oktaの導入前は一部のユーザー以外はほとんどAuthenticatorアプリなどは
利用していなかったためなおさら後悔しております。
どこかで一斉に切り替えを実施したい気持ちもあるのですが、
凄く問題があるかというとそういうところも無いので一旦は様子見して、
時が来たら切り替えしていきたい気持ちです。
5.まとめ
Oktaの導入なんてそうそうないので良い経験をさせていただきましたが、
あくまで導入はスタートです。
運用できるかが全てなのですが、運用していく中で最初にこうしておけばよかったなどの話は
たくさんでてきましたので、記事にさせていただきました。
ゆくゆくはパスワードレスとか、便利にしつつセキュリティも強化していきたいのと、
Oktaを通じてOIDCやOAuthなどの技術知見の共有や実装などが活発になるといいなと思っています。
来年はもっと便利にしていくぞという意思表明でした!
Discussion