kobaso

こーぽれーとあいてぃーという職種に一応ついています。 IDaaS、特にOktaのことを…

kobaso

こーぽれーとあいてぃーという職種に一応ついています。 IDaaS、特にOktaのことを中心に書いてます。 趣味は、旅行と寝ること、早い乗り物に乗ることです。運転はしません乗るのが好きです。 副業はゆるく募集してます

たのしい全社案内

唐突ですが、全社案内すること多くないですか? Slackで@hereで全社アナウンス、付かないemoji。 本当にこれみんな見てる?みたいな。 これは人間の習性なので仕方ないですが、いつも同じ人間が全社案内してるとどんどん流されがちになるんですよね。 仕方ない。 が、夏頃ちょっと気がおかしくなってそれからちょっと楽しい告知文を心がけてます。 はじまりはこれ それ以前は割と対象者~とか書いてたんですが、まぁいいやってなりました。 ちなみに弊社は60人程度のスタートアップ

kobaso

    • 小さな女の子たちをお迎えしたら人生のQOLが爆上がりした話

      こんにちは! ドールおばさんこと、カンムという会社でコーポレートITとして働いているkobasoです。 この記事は、カンム Advent Calendar 2023の19日目の記事になります。 昨日はTBくんの旅行記事でしたね。私も随分前に香港ディズニーによく行っていた時期があったので読んでて当時を思い出しました。 エッグタルトはいいぞ! 最初に書くかもって予定していたアナウンス文については別のアドベントカレンダーにて書こうと思うので、この記事では100%趣味の話を書き

      kobaso

      • Azure ADのPIMを設定する

        そもそもPIMとはそもそもPIMとはなんぞや? という話なんですが、PIMとはAzure ADの機能のうちの1つです。 Azure ADでもなんでも管理者というのが存在するわけで、その権限を情シスなんて存在はよく持っているのですが、いつでも持っているというのはセキュリティ上的にもよろしくないよね?という意味で、必要時のみ割り当てをする機能 最近、プレビューですが、グループを利用したPIM制御もできるようになりました。(後述) 個人に割り当てる方法とりあえず、個人に権限を割

        kobaso

        • AWS SSOを利用したCLIが最高だったので感情そのままで書く

          いやまじ最高だわ。 まずこれ書いてる人は、コマンドラインという存在が大っ嫌いです。GUIで済むのならGUIだけで生きていたいそんな気持ちで日々を生活しています。 ですが、そうもいかない時があります。残念だけど。 前提の条件タイトルにもあるけど、AWS SSOが既に設定されているということです。 されていればなんでもいいです。IdPがなんであろうとなんでもOK。最高か ただしAWS CLI v2がのみ利用可能。v1じゃダメです。でもConfigの設定とかは最低限でいい。

          kobaso

        たのしい全社案内

        kobaso

          Azure ADのPIM通知をいい感じにSlackに通知させたかったのにそんな現実は甘くなかった話

          悲しかったので書きます。 そもそもPIMってなに?Azure ADのPrivileged Identity Managementというサービスです。 Azure AD Privileged Identity Management とは このサービスは、時間ベースおよび承認ベースでユーザーに権限を付与するというサービスです。 例えばの話、自分がグローバルアドミン権限を持っていたとします。 この権限はAzure AD内やそれ以外の全てのAzureのリソースを操作が可能です。

          kobaso

          Azure ADのPIM通知をいい感じにSlackに通知させたかったのにそんな現実は甘くなかった話

          kobaso

          システム管理者が退職するときにやっておくといいこと

          俺は会社を退職する!!!! というわけで、システム管理者が退職するにあたって、システム管理者はいろんなシステムのオーナー権限持っていたり、GAS動かしてたり、Slackアプリのインテグレーションとかやってたり、他色々あるわけなんですが、退職してアカウントが停止したら漏れなく全部止まります!イェイ!爆弾置いて会社をさるぜ!グッバイ!みたいな そうならないために、色々確認しておこうねって趣旨の記事です。 そしてこれを書いてる人間は今まさに辞めるって人なので!開放感と疾走感で書

          kobaso

          システム管理者が退職するときにやっておくといいこと

          kobaso

          OktaとMSの連携でImmutable IDという普遍的なはずなIDを吹っ飛ばした時の話

          これを読んでる君は、Immutable IDをきっと吹っ飛ばしたからやってきたのでしょう... という物語調はおいといて、OktaとMSの連携でしくじった時にしんどかった時の話(Immutable ID版)をします。 そもそもの話まず一つ愚痴です。OktaとMS Office365のアプリテンプレートはあるんですが、Azure ADのみの構成の場合、これ非常にわかりにくいというか、とても初見殺しです。 なぜかというと、Okta上のドキュメントではPowerShellとA

          kobaso

          OktaとMSの連携でImmutable IDという普遍的なはずなIDを吹っ飛ばした時の話

          kobaso

          AzureAD以外でMSとSSOするとOOBE中にOktaのセットアップが走る件について

          Q.どんなケースでこんな事がおこるんですか A.すでにMSとOkta(AzureAD以外のIdP)が連携してる状態で、新入社員にIdP側にアカウントを発行しています。その状態で、新規のWindows Proの端末でOOBEの途中に起こります。走らない場合もある なんで そりゃ、Oktaのアカウントの設定が未完だからだよ。 というわけで、そんな問題の回避方法というか、ヘイシャーだとこうしてます。を書いてみる。 なんでこんなことになるのかOktaのアカウントは発行されてる

          kobaso

          AzureAD以外でMSとSSOするとOOBE中にOktaのセットアップが走る件について

          kobaso

          Oktaのポリシー設定画面逆引き

          まじで画面がバラバラすぎてわからんって ってわけで画面の逆引き。自分用 UIは2021/05/01時点の新UIです。 ちなみに6月ですべてのテナントが変わるそうです。新UI苦手なので嫌だなぁ 今回の記事の逆引き対象セキュリティ関連のポリシー関係 セキュリティタブにいるのが対象です。 赤がセキュリティタブで、オレンジが中身です。 逆引き前のOktaの画面のお作法若干独特だなぁと思うのが、Oktaの画面構成です。 構成としては、まず項目の中にタブが2つある構成です。 これ

          kobaso

          Oktaのポリシー設定画面逆引き

          kobaso

          OktaをIdPにする俺たちは条件付きアクセスを利用できないのでOktaのSign On Policyを利用する

          またOktaネタです。 書くネタがOkta以外ないワロ タイトルそのまんまなんだけどSaaS利用する時に、特定IPのみログイン可能にしたいとか、WindowsとMac OSのみ許可してスマートフォンからのアクセスは禁止したいとか、MFA必須にするとか、ログインさせるにもわがままなルールを出しがちになります。 仕方がないんだけど。 で、そんな中で有名なのがマイクロソフトの条件付きアクセス 詳しいことは公式ドキュメント読んでください 条件付きアクセスとは ただ問題があってO

          kobaso

          OktaをIdPにする俺たちは条件付きアクセスを利用できないのでOktaのSign On Policyを利用する

          kobaso

          【決まりました】ヘルプデスク募集してます。

          弊社、ヘルプデスク募集はじめました。そのこと書きます。 なんで募集を始めたか端的にいうと、情シス(私1名)の余裕がなくなってきた。 情シスというのが会社に誕生して8ヶ月くらい経ったのですが、そろそろ私の余裕がなくなりました。 理由はいろんな理由があるのですが - ツール類を導入が多くなったのでその運用で手が足りなくなってきた。 - 社内の人が私に質問慣れをしてきた(いいことなんだけど、問い合わせが増えた) - やっていきたいことを考えて逆算していくと、私1人でやっていくのに

          kobaso

          【決まりました】ヘルプデスク募集してます。

          kobaso

          Oktaでユーザー作成をしたときにSlackで通知する方法

          アカウント作成する時にユーザーの名前を間違えまくる罪を重ねすぎた結果Slackに通知させて、通知がくるチャンネル参加者にチェックをしてもらうことにしたので、そこに至るまでの通知設定を書いてます。 なんでそもそもこんなピタゴラ作ろうと思ったか アカウント発行係の私が息を吸うように人の名前を間違えてメールアドレス作成しちゃうから作りました... 次の画像が作ったやつ、そして早速起こす事故の証拠画像 メルアド間違えて作って当日まで気がつかなくて爆死という事故を何度か起こした

          kobaso

          Oktaでユーザー作成をしたときにSlackで通知する方法

          kobaso

          カオナビとOktaのSSO設定

          カオナビのSSO方法のヘルプで、Oktaなかった。 ハブか?ってなったので書きます。 ちなみに、カオナビ 公式には以下のIdPの設定方法があります。 カオナビシングルサインオン設定を追加する Azure Active Directory/G Suite(SAML/G Suite(SAML)/G Suite(OAuth)/OneLogin/HENNGE One(HDE One)/トラスト・ログイン(SKUID)/CloudGate UNO/LOCKED Oktaの設定まずO

          kobaso

          カオナビとOktaのSSO設定

          kobaso

          SentinelOneとOktaのSAML設定

          OktaにSentinelOneのSAMLテンプレートなかったし、ググってもなんか出てこなかったので(SentinelOneのヘルプページにはあんのかな?しらん) 走り書きです。誤字脱字は見つけたら直します やり方Oktaにテンプレートがないので、Applications > Add Application >  Create a New Application Integration > SAML2.0 を選択する ①General SettingsのApp Name

          kobaso

          SentinelOneとOktaのSAML設定

          kobaso

          IdPの導入するとき考えたこと

          この記事は 【初心者優先枠】corp-engr 情シスSlack(コーポレートエンジニア x 情シス)#2 Advent Calendar 2020 15日目です。 この記事はIdPを導入するにあたって、どんなことを考えたのかをまとめてます。 IdP自体会社の主幹の部分になるので、その会社毎の人事マスタや導入しているサービスや方針によって変わってきます。 なのでベストアンサーはないと思っているのですが、私はこんなふうにしました。と言う感じで、今後導入検討の人の一助になれば

          kobaso

          IdPの導入するとき考えたこと

          kobaso

          これからSAMLをやる俺たちへ

          IdP導入する前に、いろいろ忘れそうなのでSAML設定する時に必要だった、便利だった機能を独断と偏見で備忘録として残しておきます。 正直、IdPやSPごとにハマり所が違ったりして、IdPなら、Azure ADならうまくいくけどOktaでうまくいかんとか、まず特定のIdPにしか対応してないとか、SP(サービス)毎に実装方法の違いも当たり前にある世界なので、助けになるものが多ければ多いほどがいいし、実際導入した翌日に問い合わせの嵐に疲弊しないためにもいろんな状態で検証するのが吉

          kobaso

          これからSAMLをやる俺たちへ

          kobaso