ポリシーアクションの委任フローを作成する
エンティティリスクポリシールールでフローをトリガーするには、Okta Workflowsで事前にフローを作成しておく必要があります。
開始する前に
- スーパー管理者のロールがあることを確認します。
- Workflowsコンソール(Workflows console)にアクセスできることを確認します。
- アイデンティティ脅威保護では、委任フローのみがサポートされます。
フローを作成する
- Okta Workflowsコンソールを開きます。
- フロー(Flows)タブで、エンティティリスクフローのフォルダを作成します。詳細については、フォルダとサブフォルダを参照してください。
- 新しいフォルダで、新規フロー(New flow)をクリックしてフローを追加します。
- フロー名(デフォルトでは名前未設定(Unnamed))の横にある鉛筆アイコンをクリックし、フローのプロパティを編集します。フローに一意の名前を付け、必要に応じて説明を指定します。例:
Risk Policy - Low (Notify)。 - フロービルダーインターフェイスでイベントを追加(Add event)をクリックし、委任フロー(Delegated Flow)を選択します。
- アプリアクションを追加(Add app action)または関数を追加(Add function)をクリックし、フローがトリガーされたときに修復アクションを実行するカードを追加してリンクします。次のセクションにあるいくつかのサンプル修復フローをご覧ください。Oktaコンテンツライブラリでその他のWorkflowsテンプレートとチュートリアルを確認することもできます。
- フローが完成したら、保存(Save)をクリックします。
- フローはオフ(Flow is OFF)をクリックし、フローをオン(ON)に切り替えます。フローを通過するデータをすべて保存するかどうかを選択することもできます。このオプションは、完成したフローをデバッグおよび監査する場合に便利です。
エンティティリスクポリシールールに必要な修復アクションごとにこの手順を繰り返します。
エンティティリスク管理で使用されるアクティブな委任フローは、フローと実行の上限数の対象としてカウントされます。「Workflowsのシステム制限」を参照してください。
サンプル修復フロー
以下では、継続的アクセス強制適用ポリシーの一部として実装できるシンプルなフロー例をいくつか示します。
Slack通知
この委任フローは、ユーザーIDを受け取り、そのユーザーのOktaディレクトリから特定の詳細情報を取得します。この情報は、管理者にインシデントについて知らせるためにSlackチャネルに送信されるメッセージに組み込まれます。
ユーザーセッションをクリアしてメール通知を送信する
このサンプル修復フローの目的は、アクティブなIdPセッションをすべて削除し、ユーザーに発効されたOIDCトークンとOAuthトークンをすべて取り消すことです。最後のステップでは、事前に定義された管理者のリストにメールを送信します。
すべてのメンバーシップからユーザーを削除してそのアカウントを非アクティブ化する
これはより高度な修復フローです。ヘルパーフローを使用してすべての既存グループからユーザーを削除します(すべてのユーザーが属する必要がある全員(Everyone)グループは例外です)。For Each関数は、ユーザーが属するすべてのグループを反復処理します。Group IDは、Okta User IDと一緒にヘルパーフローに渡されます。
その後、フローにより、ユーザーがリスクのあるアカウント用に予約されているグループに追加されます。最後に、ユーザーアカウントが非アクティブ化され、リスクの調査と対処が完了するまでサインオンアクティビティを実行できなくなります。
メインの委任フローは、ユーザーが属しているグループごとにヘルパーフローを呼び出し、それぞれのグループからユーザーを削除します。Continue If分岐関数カードは、全員(Everyone)グループの例外を処理します。
これらは、エンティティリスクの違反に対応するために実装できるOkta Workflowsのほんの数例に過ぎません。委任フローの複雑さは、orgの標準と使用可能なコネクターオプション、そして通知、モニタリング、修復の要件を満たすために必要なものによって異なります。
関連項目