Zenn
O-KUN Tech BlogPublicationへの投稿
🔑

Oktaで連携したApplicationから、意図せずユーザのアサインが削除されてしまった話

s-haya
2023/12/28に公開
Microsoft 365
Okta
tech

こんにちは、s-hayaです。
O-KUN Advent Calendar 2023の20日目です。

タイトルの通り、Oktaで連携したApplicationからユーザのアサインが削除されて、社内で混乱を招いてしまいました。今回はその際の顛末をお話しします。

何が起こった?

弊社ではIDaaSとしてOktaを導入しています。AWSやGitHub、Atlassian、Microsoft 365、etc...などと連携させていますが、メンバー・グループのマスター情報はMicrosoft 365で管理しています。
今回はとあるグループへのメンバー追加依頼対応時とほぼ同タイミングで、タイトルに記載の現象が発生しました。(依頼対応と同タイミングで発生したので関係している可能性は高いですが、現時点では真の原因は不明で調査を継続しています)

最初に気づいたメンバーから、以下の事象が発生している旨の報告を受けました。

  • OktaのトップページからGitHubとMicrosoft関連サービスへのリンクが消滅した
  • アクセスできるAWSアカウント数が減少した
  • 社内管理のGitHub Organizationの内、一部にアクセスできなくなった
  • 社内管理のGitHub RepositoryへのPush権限が無くなった

他にも2名同様の現象が発生したとの報告があり、Okta周りを管理する私ともう1名のメンバーも影響を受けている事が判明しました。

状況把握

報告にあった現象以外に何か起こっていないか把握するため、自分の環境を確認してみました。判明したことは以下の通りです。

  • Microsoft 365の全サービスが利用できない
    • 管理センターにもアクセスできない
  • 社内管理のGitHub Repositoryへのアクセス権限が消滅した

弊社ではMicrosoft 365グループがあらゆる外部サービスのグループと同期されているため、Microsoft 365側で何かしらが起こったのではないかと当たりをつけました。しかし、Microsoft 365を管理する2名のどちらとも管理センターへのアクセス権限が消滅していたので、Okta側から原因調査を開始することになりました。

原因調査

社内での調査およびOktaサポートへの問合せを実施して、原因を探りました。

社内での調査

まずはOktaの管理画面から、本件が発生した時刻付近のMicrosoft 365に関するログを確認しました。私が依頼を受けたMicrosoft 365グループへのメンバー追加を即時でOktaに同期させるためImportを実施したのですが、そのタイミングでユーザのアサインが削除されたログが見つかりました。

Oktaサポートへの問合せ

Oktaサポートへの問合せの結果、社内調査と同様にMicrosoft 365からOktaへの手動Importの際にユーザアサインの削除されている旨の報告を受けました。さらに、Microsoft 365のライセンスを削除した状態でOktaへのImportを行うと、ユーザのアサインが削除される仕様についても案内していただきました。

また、Microsoft 365管理センターへアクセス不能になった件に関しては、グローバル管理者権限が外れている可能性を示唆されました。

Microsoft 365ライセンスの確認

OktaからMicrosoft 365のグローバル管理者権限を割り当てたところ、管理センターへのアクセスが可能になりました。このことから、当該権限の削除も同時に発生していたことが判明しました。

また、管理センターから今回影響のあったユーザを確認したところ、すべてのライセンスが外れていました。ここまでで、以下の流れで本件が発生したことが整理できました。

  1. 何らかの理由でMicrosoft 365のライセンスが一部のユーザから削除された
  2. グローバル管理者権限保有者は、その権限も削除された
  3. Oktaに対してMicrosoft 365からメンバー・グループ情報をImportした際、ユーザのアサインが削除された

実施した対処

Microsoft 365のライセンス削除が原因だと分かったので、該当のユーザに対してライセンスを割り当て直しました。その状態で再度Importを実施したところ、メンバーから報告のあった事象が無事解消されていることが確認できました。

まとめ

本件は手動でのImportが契機となりましたが、定期的に自動でImport処理が走るので、遅かれ早かれ発生していた事象だと思います。ただ、原因となったMicrosoft 365のライセンス削除については、Microsoft 365側のログを確認しても痕跡が見つかっておらず、真の原因は不明のままです。

今回はたまたま本事象が影響のない範囲で業務を継続することができましたが、タスクの着手状況によっては業務が止まってしまうことも考えられます。

解決の糸口を助言していただいたOktaサポートへ感謝するとともに、再発を防ぐためにもMicrosoft 365のライセンスが削除された原因については継続して調査を行ってまいります。

O-KUN Tech Blog
O-KUN Tech BlogPublication

株式会社オークンのエンジニアによるテックブログです。楽しく働く社会をスタンダードにするをビジョンに掲げ、技術を学ぶことや仕事を楽しむ天才たちが集まる会社です。

Discussion