IaaS

緊急時のためにOktaへ問い合わせだけが出来るユーザーを作成する

IDチームの前田です。今回はOktaで問い合わせだけが出来るユーザーを作成する方法をご紹介します。

企業のIdPとしてOktaを利用している中で、システム管理者ではない特定のユーザーにもOktaのサポート窓口へ問い合わせ(サポートケースの作成)を行えるようにしたい、というニーズがあるかと思います。しかし、広範な管理者権限を付与してしまうと、意図しない設定変更などのリスクも伴います。

この記事では、Oktaの管理権限を細分化し、サポートケースの作成に必要な最小限の権限だけを持つカスタムロールを作成し、それをユーザーに割り当てる手順を解説します。これにより、セキュリティリスクを低減しつつ、特定のユーザーがOktaサポートへ直接問い合わせできるようになります。

3行まとめ

  • Okta管理者が不在の時に、Oktaへ問い合わせができるよう「問い合わせ専用ユーザー」を作成する具体的な手順
  • 管理権限を最小限に絞ったカスタムロールで、Oktaサポートへの問い合わせ可能なユーザーを作成し、緊急時に対応ができるようにします。

手順概要

Oktaで問い合わせ専用ユーザーを作成する手順は、大きく分けて以下の3ステップです。

  1. ロールの作成: サポートケース作成に必要な権限を持つカスタムロールを作成します。
  2. リソースセットの作成: 作成したロールがアクセスできる範囲(リソース)を定義します。
  3. グループへの割り当て: 作成したロールとリソースセットを対象のユーザーが所属するグループに割り当てます。

それでは、各ステップの詳細を見ていきましょう。

すでに対象となるユーザー、所属するグループは作成済みとして話を進めていきます。

ロールの作成

まず、サポートケースの作成に特化したカスタムロールを作成します。

  1. Oktaの管理コンソールにログインします。
  2. 左側のナビゲーションメニューから Security > Administrators を選択します。
  1. Roles タブを開き、Create role ボタンをクリックします。
  1. 以下の情報を入力します。
    • Role name: 任意のロール名を入力します(例: Support Case Admin)。
    • Role description: ロールの説明を入力します(例: Allows users to create Okta support cases.)。
  2. Permissions セクションで、このロールに付与する権限を選択します。サポートケースの作成に関連する権限を検索し、チェックを入れます。最小権限の原則に従い、必要な権限のみを選択してください。
    • 注意: Oktaのアップデートにより、権限の名称や場所が変更される可能性があります。Oktaの公式ドキュメントも合わせてご確認ください。
  1. Save role ボタンをクリックしてロールを保存します。

リソースセットの作成

次に、作成したロールがどのリソースに対して有効になるかを定義するリソースセットを作成します。

  1. 引き続き Security > Administrators の画面で、Resources タブを開きます。
  2. Create resource set ボタンをクリックします。
    <!– ここに Resources タブと Create resource set ボタンのスクリーンショットを挿入 –>
  1. 以下の情報を入力します。
    • Resource set name: 任意の名前を入力します(例: Okta Support Case Resources)。
    • Description: リソースセットの説明を入力します(例: Resources required for creating Okta support cases.)。
  2. Resources セクションで、このリソースセットに含めるリソースを定義します。サポートケース作成の場合、多くはOktaテナント全体に関連するため、Support Cases を選択
  1. Save resource set ボタンをクリックしてリソースセットを保存します。

ロールとリソースセットをユーザーの所属するグループに割り当て

最後に、作成したロールとリソースセットを対象のユーザーが所属するグループに割り当てます。

  1. 引き続き Security > Administrators の画面で、Admins タブを開きます。
  2. Groups にチェックを入れて、Add administrator ボタンをクリックします。
  1. Select a role ドロップダウンから、手順1で作成したロール(例: Support Case Admin)を選択します。
  2. Select a resource set ドロップダウンから、手順2で作成したリソースセット(例: Okta Support Case Resources)を選択します。
  3. 割り当て内容を確認し、Save changes ボタンをクリックして保存します。

これで、対象のユーザーはOktaの他の管理機能にはアクセスできず、サポートケースの作成(および関連する操作)のみが可能な状態になりました。

まとめ

今回は、Oktaで問い合わせ専用のユーザーを作成する手順をご紹介しました。この方法により、セキュリティを担保しつつ、必要なユーザーにOktaサポートへのアクセス権を付与できます。

これで緊急時にOktaサポートへの問い合わせができるユーザーが用意できました。

glidenote

memolist.vim作者. GMOペパボ、Kaizen PlatformといったWEB系スタートアップでシニアエンジニア、SRE Group Manager、Engineering Group Managerを歴任。AWS Certified Security – Specialty.
Speed Cube初心者 1/5/12=19.21/29.70/30.27。ばね指治療中

記事一覧