Realmsのご紹介：組織を管理するための新しい方法

トピック

Identity Governance & Administration, セキュアアクセス

Universal Directoryに対するOktaのビジョンには、顧客があらゆる技術スタックを包括的で一元化されたクラウドディレクトリに統合し、統合管理を可能にするアイデンティティ管理の集中型アプローチの提供が含まれています。今の世界では、統合されたアイデンティティ管理はますます困難になっています。

従業員、契約社員、季節労働者、ビジネスパートナーで構成される人材に依存する組織は、合併や買収、子会社、地域、部門、部署を持つ複雑なビジネス構造を採用しています。

Oktaは、アイデンティティのモデリングにおける柔軟性を提供するために、Realmsを導入し、お客様が独自のユースケースに対応する中央管理プレーンとしてUniversal Directoryを活用できるようにしています。Realmsは、お客様が単一の組織内で、固有のニーズに基づいてユーザー集団をセグメント化できる、新しいディレクトリ構造です。ハブアンドスポークのような展開モデルに加えて、Realmsは顧客が組織の設計を行う際の選択肢を増やします。Realmsは、Okta Identity GovernanceおよびSecure Partner Accessを通じて一般提供が開始されました。

アイデンティティの統一が非常に難しい理由

ITチームは、さまざまな方法で取り込まれるグローバルかつ多種多様なユーザーの管理に苦労することがよくあります。この複雑さにより、テクノロジー環境の断片化、最小権限アクセスの実装の難しさ、そして従業員の生産性の低下を招き、最終的にはビジネスの成長を妨げる可能性があります。

これらの課題に対処するため、組織は現在、ハブアンドスポークのようなアーキテクチャを利用して、相互に排他的なユーザーグループの管理を分割し、委任しています。ハブアンドスポーク型アーキテクチャは、特にローカルのコンプライアンスニーズを満たすために、ユーザーグループを切り分ける効果的な方法ではありますが、個々のユーザーグループを管理しようとする管理者にとっては、負担が大幅に増大する可能性もあります。組織とITチームには、すべてのアイデンティティを一元管理し、誰がどのアプリケーションにアクセスできるかを包括的に把握する仕組みが必要です。

Realmsはどのように役立つか

Realmsは、組織内のグループを厳密に分割し、次のような状況で管理者に対して合理的かつ安全なエクスペリエンスを提供します。

部署、買収先企業、子会社、部門などの異なるユーザーグループを抱える動的な組織を管理する
ローカルのヘルプデスク管理者に、異なるユーザーグループの管理を委任したい
ITの効率を向上させ、中央のITチームに寄せられるユーザー管理チケットの数を減らしたい

単一の組織内で、特徴が異なる個々のグループをモデル化する

Realmsを使用すると、管理者は単一の組織内でユーザーを相互に排他的なグループへ分割できます。これにより、分割されたユーザーグループ間に厳格な境界が設けられて、ユーザーデータを保護しつつ、異なる組織でユーザーやポリシーを複製することなく、一部の従業員の管理を安全に委任できます。

レルムの指定を自動化し、ユーザーのオンボーディングを簡素化する

新しいRealm Assignmentsを利用すると、新規ユーザーは、管理者が介入することなく正しいレルムに自動的に追加されます。その結果、プロセスが自動化されて、ユーザーのオンボーディングでの俊敏性が向上します。これは、ユーザーが人事ソース、IDP、その他のディレクトリから取り込まれる大規模な組織にとっては特に重要になります。

ユーザー管理の委任

Custom Admin Role Frameworkを活用することで、柔軟な「レルム管理者」ロールを作成し、レルムのユーザーグループのスコープ内でパスワードのリセット、ユーザーの作成、アプリケーションやグループの割り当てなどのタスクを処理できます。これにより、ITチームは効果的にスケールでき、中央のIT管理者チームにかかる管理負担を軽減できます。中央のITチームは、管理者がアクセスできる範囲を最小限に抑え、過剰な特権を持つ管理者を防ぎながら、特定のユーザーグループに対する日常的なヘルプデスク業務をローカルの管理者に委任できます。

レルム管理の自動化

Workflowsを使用すると、管理者はレルムの作成、参照、更新、削除を自動的に行えるほか、ユーザーの作成やレルム間の移動も自動化できます。Workflowsは、反復的な作業を自動化・効率化でき、ITチームの負担を軽減して、手作業を排除できます。

従業員全体のガバナンスを一元化

Expression Languageを使用すると、Access Certificationキャンペーンとエンタイトルメントポリシーのスコープを単一または複数のレルムのユーザーに設定できます。これにより、ガバナンスを単一の組織内の複数のユーザーグループ全体に適用できるようになります。一方で、複数の組織を活用して委任管理を実現する顧客の場合は、組織全体でキャンペーンを包括的に実行できず、ガバナンスに対するアプローチが断片的になってしまいます。

組織管理へのアプローチを改善

ビジネスオーナーは、Realmsを活用して、単一の組織内で効率的なID管理と堅牢なセキュリティを実装し、成長とビジネス成果を加速することができます。

柔軟な導入モデル

ユーザーは、レルムや複数の組織、またはその両方を活用して、組織の構築方法を柔軟に選択できます。論理的なユーザー分割があり、ITチームがサイロ化または外部委託されている企業では、管理者が重要な作業を実行できるように、管理コンソールへのアクセス権を付与する必要があります。

しかし、カスタム管理者ロールの柔軟性を活用しても、このような管理者にはアクセススコープが過剰になることがよくあります。その結果、ITチームはユーザーグループを分割するために複数の組織を導入せざるを得なくなります。

Realmsは、アーキテクチャ上にこれらの分割をモデル化するための柔軟性をもたらします。これにより、組織はユーザー管理関連の作業を委任できるようになり、中央のITチームは単一の場所で、ポリシー、アプリケーション、ユーザーグループ全体のガバナンスを管理することができます。

ガバナンスの一元化

ガバナンスは組織レベルで適用されるため、複数の組織を持つ顧客にとっては、ガバナンス構造が分断されてしまいます。Realmsを活用することで、最上位の組織管理者は、すべてのユーザーを明確に分割されたハブ組織に集約できます。

その上で、ユーザーグループ全体（またはグループの一部）を対象にキャンペーンを実施し、指定された「レルム管理者」に修復措置を委任することができます。グローバルのIT管理者は、組織全体を対象にしたキャンペーンの詳細な結果を、断片化した組織やキャンペーン間の結果を手動で調整することなく確認できます。

M&Aの俊敏性を向上

最上位の組織は、Realmsを使用して、IT統合戦略や組織構造が確立されるまでの間も、重要なアプリケーションにユーザーを効率的にオンボーディングできます。ユーザーをそれぞれ専用のレルムに分割することができ、管理者は、買収先企業の管理者に組織全体や管理コンソールへのアクセス権を付与することなく、委任できます。最上位の組織のIT管理者には、管理を委任しながらも、ユーザーをオンボーディングし、すべてのアプリケーション割り当て全体で可視性を容易にかつ安全に維持できるというメリットがあります。

IT運用の最適化

企業は、日々のユーザー管理関連の作業をローカルのヘルプデスク管理者に委任して、グローバルのIT管理者が戦略とインフラストラクチャに集中できるようすることで、全体的なIT管理業務を効率化できます。これにより、組織は可視性を損なうことも、サイロ化を生み出すこともなく、管理を委任できます。複雑な組織でも、グローバルのITチームに負担をかけることなく、ユーザーアイデンティティの断片化を解消し、個別のユーザーグループを単一の統合ビューに集約できます。

導入前と導入後

複雑な組織は、いくつかの異なる方法で構成されています。

複数の異なる組織が接続されていない。
複数の組織がOrg2Orgを介して接続されており、多くの場合、ハブアンドスポークモデルで構成されている。
単一の組織内で、ユーザーが明確に区別されないグループで編成されている。

複数の組織

現在、組織では、異なる部署または部門の従業員が別々の組織に存在するように設定されているかもしれません。Okta管理者は、組織ごとにユーザーとアプリの割り当てを個別に管理する必要があります。さらに、ユーザーは組織レベルで管理されるため、ガバナンスは別々の組織にまたがることはできません。

Illustration of organizational structure showing two business units labeled Org 1 and Org 2. Each unit includes diverse avatars representing individuals, along with sections for Okta admin, applications, and policies.

Realmsを使用すると、異なるユーザーグループが、単一の組織内で相互に排他的な分割で存在することができます。これにより、レルム管理者は、過剰な権限を与えることなく、レルム内のユーザーを管理できます。ガバナンスキャンペーンは、単一のレルムを対象とすることも、複数のレルムに拡張することもできます。

Diagram illustrating an organizational structure with two realms, each containing business units and realm admins.

ハブアンドスポークモデル

もう一つの方法として、パートナー、子会社、買収先企業がスポーク側の組織に存在するハブアンドスポークモデルで、組織を設定することもできます。多く、もしくはすべてのユーザーが、共有アプリケーションにアクセスできるように、スポーク側の組織に複製される可能性があります。

A visual representation of the Okta admin hub and spoke model, showcasing global policies and applications.

Realmsを使用すると、ハブ側の組織内に存在する個別のユーザーグループをまずレルムに分割してから、相互に排他的なグループをスポーク側の各組織から区分することができます。そうすることで、ユーザーはアプリケーションのアクセスとポリシーを共有しつつ、管理面では、ユーザーグループを分離したままにできます。

A visual representation of a hub and spoke model for business units, showcasing realms and their connections.

最終的には、スポーク側の組織をハブ側の組織に簡単に統合して、組織全体でユーザーの重複や負担を最小限に抑えることで、長期的な戦略を実現可能にします。

Diagram illustrating a multi-realm organizational structure with three realms and business units.

レルムを開始する

Realmsは、Okta Identity GovernanceおよびSecure Partner Accessの一部として一般提供されています。製品のドキュメントを確認し、Realmsを有効にして組織で開始してください。

さらに、RealmsではOkta製品の多くの機能と連携して、活用されます。以下については、ドキュメントをご確認ください。

作者について

Dipti Kanthilal

Senior Product Manager

Dipti Kanthilal is a Senior Product Manager at Okta, currently leading product for AI Agent imports, registry, and governance to help organizations secure non-human identities within their digital infrastructure. She previously led Universal Directory, delivering flexible solutions like Okta Realms and Secure Partner Access (SPA) to help enterprises scale their workforce and partner management. Outside of work, Dipti is an avid traveler and a focaccia enthusiast who loves experimenting with new recipes.

Okta

Auth0

ニュースルーム

Realms：組織を管理するための新しく柔軟な方法