Azure ADのPIM通知をいい感じにSlackに通知させたかったのにそんな現実は甘くなかった話

悲しかったので書きます。

そもそもPIMってなに?

Azure ADのPrivileged Identity Managementというサービスです。

Azure AD Privileged Identity Management とは

このサービスは、時間ベースおよび承認ベースでユーザーに権限を付与するというサービスです。
例えばの話、自分がグローバルアドミン権限を持っていたとします。
この権限はAzure AD内やそれ以外の全てのAzureのリソースを操作が可能です。
マジ俺最強！ってわけなんですが、この権限を常時持っておくというのはよろしくないよねという話になります。
たとえ、自分が悪意を持ってなにかしでかさなくても、第三者にアカウントを乗っ取られてしまって操作されるとかね。まぁそもそもでかい力は極力必要な時だけ持っておくくらいがちょうどいいです。何事も。
Privileged Identity Managementでは、第三者(この場合はAzure AD内に登録されて、PIMで承認が可能メンバーと登録されている他のユーザー)に何時間使うかなどを申請し、許可を得られた時点で権限を得ることが可能です。

このPrivileged Identity Managementすっごい便利な機能なんですが、一つだけ大問題があります

メールでしか通知が来ない

Slackだ、teamsだの言われているご時世にメールでしか通知が来ないのは大変悲しい話です。
なので申請をしたら逐一、Slackで承認メンバーにメンションを飛ばして許可お願いします。
と、やらないといけないという悲しい感じになります。

しんどい！！！！！まじ非効率しんどすぎて泣いちゃう

Slackに申請を飛ばしたい

なのでこんなのが作りたかった

はい、Slackでいい感じに申請が来るbot
できてるじゃん！ってこの時は思ったのですが、重大な問題がこの後わかります。

ちなみに使ったのは、Power Automateです。初めて利用したのですが便利でした。テンプレートを利用してGmailをSlackに通知するというのをりようしてました。

問題点

実装してから気がつくなよって話なのですが、上で作ったbotに致命的欠陥を発見します

申請者が自分の時に申請してるのが自分なので、自分が申請した時は自分に承認依頼のメールが届かない = 私以外の申請ならSlackbotは動くけど私が申請した場合はあいかわらず申請依頼をしないといけない

自分が面倒でbot作ったのになんていう悲しい話＾＾

自分もメンバーの申請どちらもSlackbotに通知させるには、申請を許可できる共有アカウントを作ってそのアカウントがメールを受信できるような状態にしておく必要があるという...

できれば極力、共有アカウントはなくしたいし、共有アカウトにGWSのライセンスを付与するなんてコストのかかることしたくなかったので、メール通知をトリガーにしてSlackbotを発動させるというのは、挫折しました。

という、失敗の話でした。

PIMの申請をうまいことやってるぜ！って方いたら是非教えてください