こんにちは!たつみんです。
以前、以下のようなブログを書きました。
ブログでは以下の記述のようにOffice365アプリでグループ単位で権限の管理をしている時を例に優先順位が高いグループの設定が反映されるとお伝えしていました。
一般ユーザー用のUserRoleというOktaグループやグローバル管理者権限用のGlobalAdminというOktaグループを作っておくイメージです。
この時にユーザーが複数のOktaグループに所属している場合は優先順位が高いグループに紐づく権限/ライセンスの設定が適用されます。
最近になってある設定を変更することで優先順位による決定でなく複数のグループに紐づく権限を合算しての設定が可能であることを知りましたのでその方法をご案内します。
優先順位がある状態の確認
これまでの挙動(優先順位がある状態)の確認して、おさらいしておきます。
OktaでMicrosoft Office 365アプリに以下のように2つのグループをアサインしています。それぞれのグループはその名前の通りの権限をグループに割り当てています。
この状態ではテストユーザーをAzureAD_Global Administratorグループにのみ所属させると、もちろんAzure AD上ではグローバル管理者の権限のみが付与されます。
さらにテストユーザーをAzureAD_Intune Administratorにも所属させます。この場合はAzure AD上ではIntune管理者の権限のみが付与されます。これでOktaのグループアサインの優先順位が反映されている状態の確認ができました。
グループに紐づいている権限を合算する!
ここからが本題であるOktaのグループアサインで割り当てた権限を合算するための設定変更と挙動の確認をします。
設定方法
- Okta管理画面からDirectory>Profile EditorからMicrosoft Office 365 Userをクリックします。
- AttributesからRolesのiをクリックします。
- 属性値Rolesの編集画面でGroup PriorityをCombine values across groupsを選択し、Save Attributeをクリックします。
合算されるか挙動の確認
- テストユーザーをOktaグループ
AzureAD_Global AdministratorとAzureAD_Intune Administratorの両方に所属させます。 - Azure AD上を確認するとIntune管理者とグローバル管理者の両方の権限が付与されています。
次にOktaのアサインでテストユーザーについて個別に確認します。
- Oktaのアサイン画面でPeopleから該当ユーザーの編集ボタンをクリックします。
- Roleの部分に注目してみてみますとGlobal AdministratorとIntune Administratorにチェックが入っています。これらはグループに紐づく結果なので、このユーザー個別の画面では変更することができません。
課題になるかもしれない点
ここまでで設定変更によってグループアサインで優先順位ではなく合算させることができるようになりましたが、運用面ではOkta管理者が複数いる場合は必ず周知をしてチーム内で認識齟齬が起きないようにしておきましょう。
これは合算する設定とした場合でもグループアサインの画面ではPriorityの表示が残ったり、ユーザー個別のアサインで編集画面を開いてもset byの部分は一つのグループしか表示されないため、パッと見は優先順位による反映状態なのか合算による反映状態なのかの区別がつきにくいという点があります。
また、設定変更箇所がProfile Editorで該当アプリケーションの属性の編集画面を開かないとわからないため、前提知識がないとなかなか気付きにくい点があります。これらの前提や設定変更箇所を共有しておかないと、他のOkta管理者は意図した挙動ではないと感じたり、意図せず権限やライセンスを付与・削除してしまう場合もあるでしょう。
最後に
この方法は手元ではMicrosoft Office 365アプリの属性値LicensesとRolesで確認できましたが、手元で検証できるアプリケーションで同じように属性値を合算可能なものは今のところ見つけられませんでした。
Azure ADでのlicensesやRolesは複雑な組み合わせになりがちなので優先順位より合算のほうが都合がよいかもしれませんが、課題になるかもしれない点をしっかり意識し、用法用量を守って利用しましょう。
それでは今日はこの辺りで、また別の記事でお会いしましょうノシ〜
