え、Oktaで申請ワークフローを！？

はじめに

今回はWorkflowsを使ったアイディアの投稿です。
日本で使われる「ワークフロー」。いわゆる申請と承認をするインタフェースとか、プロセスのことですね。

私も前まで知らなかったんですが、海外で「Workflow」とはプロセスの自動化を指して使われているようで。なかなか「ワークフロー」が伝わらなかった、なんてことがありました。

さて、OktaのWorkflowsはさまざまなことができる機能となっておりますが、「Workflow」を実現するもので、「ワークフロー」を用意するインタフェースは基本的にはないというような状態です。

今回は、Oktaの既存機能の組み合わせで簡易的な「ワークフロー」を作っちゃいましたという記事です。
記事を見て貰えばすぐにわかると思うのですが、ただのアイディア勝負です。なおEvent Hooksを操れるエンジニアの方であればWorkflows使わなくても実装できます。

使用環境

今回ご紹介する機能を使うために必要なライセンスは↓です。
・Advanced-Lifecycle Management
※Workflows使わないならLifecycle Management
※承認プロセスなし、Hooks利用ならSSOでもいける、かな？

申請画面作成

作成といっても、既存機能なんですが紹介しますね。
アプリケーションに対して、エンドユーザ自身がアプリケーション利用をリクエストするといった機能です。

今回は、MFAポリシーを割り当てるユーザを個別管理している組織向に向けたMFAポリシーの申請ワークフローを作ります。

1.申請用のダミーアプリを作る。
なぜ、ダミーアプリか。割愛します。
作成するのは「Bookmark App」がお勧めです。

アプリ名はユーザがわかりやすいもの。
URLは何でも良いですが、念の為無難なものにしておきましょうね。
アプリアイコンは表示しないようにしておきましょう。

アプリケーションのロゴマークはユーザにわかりやすいものに変えると良いです。

2.申請フローを作る。
今回のキモとなる「ワークフロー」の仕掛けは「SELF SERVICE」のところで「Edit」から設定します。

ここで、設定する項目は↓です。
・承認プロセスが必要か
・承認は誰が行うか
・メール通知するか

弊社では使いませんが、多段ワークフローも作成できます。お好みでどうぞ。

保存したら、フローの作成は完了です。

Workflows作成

1.トリガフロー
仕組みは簡単。先ほど作ったアプリケーションにアサインされたイベントをトリガに子フローを呼び出します。
この時、ユーザIDとアプリケーションIDを渡してあげてください。

2.メインフロー
アプリケーションIDとユーザを割り当てるグループIDの紐づけテーブルを作っておきましょう。
親フローから受け取ったアプリケーションIDで目的のグループを引っ張ってきて、ユーザを追加する。これだけです。

動作イメージ

エンドユーザから見てどのようになるかご紹介しますね。
まず、Oktaのホーム画面で「アプリの追加」を選択します。

アプリの追加画面では、このような感じでユーザには表示されます。

「リクエスト」を押下すると、申請画面に遷移します。
ちなみにロゴを適当につけたらこうなりました。反省の意を示し今回はこのまま公開します。

メール通知の機能を有効にしている場合は、こんなメールが承認者に届きます。

承認者はOktaのダッシュボードから、リクエストを承認することで一連のプロセスが終了します。あとは作成したWorkflowsがうまくやってくれます。Workflowsを信じろ。

とまあ、こういった既存機能を用いてコストをかけずに少しでも運用が楽になってもらえたらなということでご紹介しました。
Workflowsの部分をもうちょっと拡張して、申請・承認のシステムログもWorkflowsで格納しておけば監査などにも使えると思います。

ロゴの設定にはくれぐれもご注意を