Okta Identity GovernanceのAccess CertificationsとGovernance Reportsを試してみた

はじめに

こんにちは！たつみんです。

前回のOktaのIdentity Governance & Administration（以降：IGA）機能として登場したOkta Identity Governance（以降：OIG）のアクセス権の要求と承認（以降：Access Requests）について検証ブログ記事を執筆しましたが、今回は棚卸（以降：Access Certifications）,レポーティング（以降：Governance Reports）についての記事です。

前回の記事については以下をご参照ください。

Access CertificationsとGovernance Reportsは関連性が高いためこの検証ブログ記事ではその両方を取り扱うこととします。

Okta Identity GovernanceのAccess Requestsを試してみた

こんにちは！たつみんです。 本日はOktaのIdentity Governance & Adminis…

blog.cloudnative.co.jp

Access Certificationsの概要

Access CertificationsではOkta上のアプリケーションやグループというリソースに対して不必要な権限の付与が行われていないかを定期的にアクセスレビュー（棚卸）を実施することができます。

例えば部署異動によって不要になったはずのアプリケーションや特定の権限と紐づいたグループのメンバーになったままの場合に検出や権限の取り消しが行えます。

詳細は以下のOkta公式ドキュメントもご参照ください。

アクセス認定

アクセス認定を使用して、ユーザーのリソースへのアクセスを定期的にレビューする方法について説明します。

help.okta.com

事前準備と注意

Access Certificationsの設定を行う前に、まずOktaに以下のユーザーやグループの確認と作成を行いました。

ユーザー

• groupeowner_test@example.com
  • グループのオーナーとして指定する人
  • 今回のAccess Certification campaignでは1段階目にアクセスレビューを行う人
• reviewer_test@example.com
  • 今回のAccess Certification campaignでは2段階目にアクセスレビューを行う人

グループ

• Okta Admin Group
  • Super Admin権限を付与しているグループ
  • グループのメンバーになることでSuper Admin権限が付与される
  • グループオーナーとしてgroupeowner_test@example.comを指定
    • グループオーナーがグループのメンバーでない場合はSuper Admin権限は付与されません

新しく追加された概念であるグループオーナーについては以下のドキュメントをご参照ください。

グループ所有権 | Okta

ユーザーとグループを表示して、特定のユーザーまたはグループの割り当てをすばやく確認できます。

help.okta.com

• Access Certification Reviewer
  • このグループはOktaによって自動的に作成され、レビュアーとして指定されてユーザーが自動的に追加されます。

Access Certification campaignの作成

1. Okta管理画面>Identity Governance>Access CertificationsからCreate campaignをクリックします。
   
2. Generalで以下のようにAccess Certification campaignの名称や説明、スタート日時や期日を入力し、Nextをクリックします。
   このAccess Certification campaignを繰り返す場合はMake this recurringにチェックを入れ間隔を設定することもできます。
   
3. Resourcesで以下のようにAccess Certification campaign対象を指定し、Nextをクリックします。
   今回の検証ではTypeでGroupsを指定し、グループとしてOkta Admin Groupを指定します。
   
4. UsersでAll users assigned to the selected resourcesを選択し、Resourcesで選択したグループ内のすべてのユーザーを対象とします。
   Access Certification campaign対象から除外したいユーザーがいる場合はExclude users from the campaignで指定し、Nextをクリックします。
   
5. Reviewerで1段階目のレビュアーの種類としてGroup ownerをクリックします。
   
6. Group ownerが存在しない場合のために、Fallback reviewerにユーザーを指定します。
   さらに、今回はレビュアーを2段階にしたいため、Add levelをクリックします。
   
   また、この画面ではPreview reviewerをクリックし、グループを指定することでグループオーナーを確認することができます。
   
7. 2段階目のレビュアーの種類としてUserを指定し、reviewer_test@example.comを追加します。
   Additional Settingsではどのような時に2段階目のアクセスレビューを実施するかを指定することができます。今回はデフォルト値のまま設定し、Nextをクリックします。
   
8. Notificationsではリマインダーなどを設定し、Nextをクリックします。
   
9. Remediationでは、すべてのレビューが完了した時にレビュー内容によってどのような作業を実施するかを指定し、Schedule Campaignをクリックします。
   以下ではレビュー結果としてアクセス削除（Revoke）が選択された場合に対象のリソースからユーザーを削除します。 レビュアーがレビューを行わずにAccess Certification campaign期間が終了した場合は何もしません。
   
10. 作成されたAccess Certification campaignは開始日まではScheduledに表示されます。
    
11. クリックすると詳細が表示されます。
    

Access Certification campaignの開始から終了まで

1段階目

1. Access Certification campaignが開始されるとレビュアーには以下のようなメール通知がされます。
   
2. レビュアーのOktaダッシュボードにはOkta Access certificationが表示されているのでクリックします。
   
3. 割り当てられているAccess Certification campaignをクリックします。
   ここではアクセスレビュー対象が4名であることも確認できます。
   
4. 以下のように対象メンバーが表示されており、それぞれApprove（承認）,Revoke（取り消し）,Reassign（レビュアーの再割り当て）が選択できます。
   
5. 例えば以下のように、あるユーザーについてRevoke（取り消し）を選択した場合は理由を記載し、Submitをクリックします。
   
6. Approve（承認）を選択した場合も同様に理由を記載し、Submitをクリックします。
   
7. Reassign（レビュアーの再割り当て）を選択した場合は、再割り当て先と理由を記載し、Reassignをクリックします。
   
8. レビュアーの作業がすべて完了すると以下のような表示となります。
   

再割り当てとして指定されたレビュアーの操作

1. 再割り当て先として指定されたレビュアーには以下ようなメール通知がされます。
   
2. メールリンクもしくはOtkaダッシュボードから遷移し、割り当てられているAccess Certification campaignをクリックします。
   
3. 今回はApprove（承認）を選択し理由を記載し、Submitをクリックし進めました。
   

割り当てられている全てのユーザーについてレビューを実施することで、1段階目のアクセスレビューは全て完了しました。

2段階目

1. Otkaダッシュボードから遷移し、割り当てられているAccess Certification campaignをクリックします。
   1段階目で1名Revokeしているためアクセスレビュー対象は3名となっていることが確認できます。
   
2. 以下のように対象メンバーが表示されており、それぞれApprove（承認）,Revoke（取り消し）,Reassign（レビュアーの再割り当て）が選択できます。
   
3. ユーザーをクリックすると画面右側にはHistoryが表示され1段階目にどのようなアクセスレビューがされたかを確認することができます。
   
4. 承認作業を実施します。
   

割り当てられている全てのユーザーについてレビューを実施することで、2段階目のアクセスレビューも全て完了し、Access Certification campaign全体が終了しました。

Access Certification campaign終了時の挙動について

Revokeされるタイミング

今回の場合は1段階目でRevokeが選択されたユーザーはその時点でOktaグループOkta Admin Groupから削除されます。

最終決定を2段階目で実施する設定とすることで、Revokeされる対mングを2段階目にすることもできます。その場合はAccess Certification campaignを作成する際のReviewerのAdditional SettingsでBoth approved and revoked decisionsを選択することで実現できます。

Okta Workflowsとの連携について

Okta WorkflowsではAccess Certification campaignが終了したタイミングをトリガーとするAccess Certification Decision Submittedというカードが用意されています。

これを活用することで例えば、Access Certification campaignのRemediationでRevokeされたユーザーに対してSlackやメールで通知を行うような処理を追加することができます。

Governance Reportsの概要

Governance Reportsでは主に完了したAccess Certificationsに基づいたレポートを利用することができます。また、Access Requestsについてのレポートも利用することができます。

これらのレポートはフィルタをかけたりCSV出力することも可能です。

詳細については以下のOkta公式ドキュメントもご参照ください。

Identity Governanceレポート

help.okta.com

Reports>Reportsにそれぞれリンクがあります。

Access Certificationsの概要レポート

Reportsの中のPast Campaign Summaryをクリックすると以下のような概要レポートが表示されます。

ここでは横にスクロールすることでAccess Certification campaignにおいて、approvedやrevokedとレビューされた数やレビュー結果に基づいてどのようなActionが取られたかの数を確認することができます。

あくまでも概要としてどのようなAccess Certification campaignが行われたかを確認するというニーズを満たしてくれます。

Access Certificationsの詳細レポート

Reportsの中のPast Campaign Detailsをクリックすると以下のような詳細レポートが表示されます。

こちらでも横にスクロールすることでアクセスレビュー対象毎にAccess Certification campaignによってどのレビュアーがどのような判断をし、どのようなActionが取られたかが記載されています。

Access Requestsのレポート

Reportsの中のPast Access Requestsをクリックします。

以下のように過去のAccess Requestについてのログが表示されます。Request IDをクリックします。

以下のように詳細画面が表示されます。

最後に

アクセスレビューの考え方は適切な権限管理を行うための基礎となります。自分自身も過去の情シスでの業務の経験では準備に時間がかかる、レビュアーへの依頼の手間がかかる、レビュー結果として権限剥奪の操作が大変だという印象があり、なかなか積極的になれませんでした。

OIGのAccess Certificationsではこれらの多くの部分が自動化もしくは省力化されており非常に有効であると感じました。

Access RequestsのようにSlackなどのチャットツールと連携できるとより便利だと思うので今後実装されることに期待したいです。

また、Governance Reportsでは実行結果をサッと確認でき、監査対応にも利用できそうです。

OIGとしての機能は今後も追加されるそうなのでポリシーやロールの管理や職務分掌（SoD:Separation of Duties）といった他のIGA分野もカバーされるようになることを待っています！

それではまた別の記事でお会いしましょう！