Hello,World! gonowayです。
よくある質問…ではないのですが、弊社がお客様のご支援をする中でハマリポイントだなあと思ったことがあったのでブログ記事にて紹介します。これからハマる人に届け〜!☆
環境
- Okta
- アプリケーションへのユーザープロビジョニングができるUniversal Directory, Lifecycle Managementライセンスを含んだ構成
- Slack
- Business Plusライセンス
事象
OktaからSlackへのユーザープロビジョニングがエラーになった事象がありました。
An error occurred while assigning this app.
Automatic provisioning of user xxx to app Slack failed: Error while verifying if user xxx@cloudnative.co.jp exists: Errors during execution: Error executing checkUserExists: Unauthorized. Errors reported by the connector : {“Errors”:{“description”:“invalid_authentication”,“code”:401}}. Error Code: null
原因
- Okta側の設定である[Provisioning]タブの[Integration]をプライマリーオーナー権限を持ち、人に紐付かないシステムアカウントで行っていました。
- Business Plusのフェアビリングポリシーの適用によって、
1428日以上利用していないと非アクティブになっていました。- システムアカウントで普段ログインは行わないため、非アクティブになっていました。
- つまりプロビジョニングで利用するSCIM APIを非アクティブなシステムアカウントで実行しようとしており、当然実行できないためエラーが出ていたという状況でした。
- システムアカウントで普段ログインは行わないため、非アクティブになっていました。
追記:2023年7月10日よりSlackのフェアビリングポリシーの変更が適用され、14日から28日以上の利用無しで非アクティブとなりました。最新の情報はSlack側をご確認ください。
よくある質問 :Slack のフェアビリングポリシーの更新 | Slack
対応
普段からログインを行う、オーナー権限を持つユーザーでIntegrationすることでエラーが改善され、プロビジョニングが実行されました。
後日談
プライマリーオーナー権限を持つシステムアカウントに対して、フェアビリングポリシーを適用させないことはできるかSlackさんに聞いてみました。
その返答は以下の通りでした。
基本的にクレジットカード支払い・セルフサービス銀行振込払いをされているワークスペースに対しては自動的にフェアビリングポリシーは適用されます。これらを適用させないようにするということは残念ながらできません。
適用できるようにしてほしいという点に関しては担当チームにはフィードバックとして共有させていただきますね。貴重なご意見ありがとうございます。
なお、営業発行の請求書にて銀行振込払いをされているワークスペースはフェアビリングポリシーは適用されません。
お支払い方法により挙動が異なる!なるほど〜と思いました。
プライマリーオーナーのような1アカウントしか任命できない権限に対してシステムアカウントを用いるのが鉄板だと思うのですが、思わぬハマリポイントでした。。
Slackさんご対応よろしくお願いします!いつもフィードバックへの即レスありがとうございます!
まとめ
今回のエラーメッセージがこのブログ記事の内容で全て解決できる訳ではなく、他要因の可能性もあります。
現にOkta Help Center では同じ悩みを持った方が過去におり、別の対応で解決に至っているようです。
Oktaや連携先アプリケーションのログ等を見て原因追及と対応を行うのですが、今回の件は中々気づきにくいSlackの仕様が原因だったのでブログ記事として公開しました。
これからハマる人に届け〜!☆(2回目)