NTTデータ、オンボーディングの加速とM&Aの簡素化にOkta Workflowsを活用

このブログはこちらの英語ブログ(2024年7月10日公開)の翻訳、豊嶋 依里によるレビューです。

複雑で分散したアイデンティティインフラストラクチャに悩まされていたNTTデータは、拡張性の高い俊敏なソリューションを必要としていました。Oktaの多くのお客様に言えることですが、ITサービスとコンサルティングを全世界で提供しているNTTデータも、アイデンティティインフラストラクチャがますます複雑化し、扱いが困難になっていくという状況に直面していました。そのため、Okta導入による合理化に向けた取り組みを開始しました。

NTT DATA Americasのシニアセキュリティディレクターを務めるJim Ouellette氏は、次のように述べています。「10年前のNTTデータのアイデンティティ戦略は、多くのActive Directoryと多くのOffice 365環境を使い、これらを機能させるために多くのSQLテーブルやPerlスクリプトを使うことでした。そのため、頭痛の種が増える一方でした」

ワークフォースアイデンティティは、ユーザーがユーザー名とパスワードを入力し、ノートPCが起動するのを(コーヒーを淹れながら)待つといった、一日の作業開始時の数分間だけに関係するものではありません。NTTデータにとってのワークフォースアイデンティティは、400以上のSaaSアプリ、50以上のカスタムアプリ、80以上のオンプレミスシステムを毎日、一日中保護することを意味しています。 

NTTデータのアイデンティティインフラストラクチャは、分散してばらばらであったため、開発者の時間コストが増大し、これらのアプリの管理と統制に時間がかかっていました。

2018年、同社はアイデンティティインフラストラクチャを近代化し、集中管理と容易な保守を可能にする体制を確立するため、代替となるクラウドベースの俊敏なソリューションを探し始めました。

NTTデータは、Oktaの導入により、シンプルで耐障害性が高く拡張しやすいHub & Spoke型アーキテクチャを構築できました。また、このシンプルさを生かし、主にOkta Workflowsの自動化エンジンによって、新たな運用効率を実現できました。

「10年前のNTTデータのアイデンティティ戦略は、多くのActive Directoryと多くのOffice 365環境を使い、これらを機能させるために多くのSQLテーブルやPerlスクリプトを使うことでした。そのため、頭痛の種が増える一方でした」  NTT DATA Americas シニアセキュリティディレクター、Jim Ouellette氏

解決策:新しいアイデンティティアーキテクチャとOkta Workflowsを組み合わせることで、オンボーディングを加速し、管理コストを削減

飛行機を利用した遠距離の出張が多い人であれば、「Hub & Spoke」と呼ばれるモデルに馴染みがあるかもしれません。これは、ユナイテッド航空、デルタ航空、アメリカン航空のようなフルサービスキャリアで広く採用されている運用モデルです。

たとえば、デルタ航空では、相互接続する複数の空港が「Hub」となり(米国の場合、アトランタ、JFK、シアトルなど)、そこからほとんどのフライトが出発します。 「Spoke」とは、こうしたHub空港から出発するフライトを指します。 このモデルによって、乗客の乗り継ぎが効率化し、航空会社の運用効率が向上します。 アイデンティティのコンテキストでも、同様のモデルが機能する可能性があります。特に、大規模な組織が複数の地域にサービスを提供する場合や、独自のニーズを持つビジネス部門を抱えている場合に効果的です。

NTTデータが採用した新しいアーキテクチャは以下のように機能します。

  • まず、「Hub」が組織全体のアイデンティティとワークフローの主要なソースとなります。新しいユーザーが組織に参加すると、役割に不可欠なアプリケーションやシステムにアクセスするために必要となる、固有のアイデンティティとメールが作成されます。
  • これらの固有の識別子は、「The Meat Grinder Workflow」と呼ばれるカスタムなOkta Workflowsにより、「Spoke」へと適用されます。各Spokeは、NTTデータまたはCIAM環境内の固有のエンティティに関連するものとなります。
  • Spokeは、関連するビジネス部門、エンティティ、またはユースケースに必要なアプリケーションのアクセス管理を処理します。

NTTデータの新しいモデルでは、従来のアプローチに欠けていた集中管理が可能になりました。Okta Workflowsを使って作成したカスタムのビジネスロジックを中央のHubから展開することで、さまざまなプログラミング言語やスクリプトユーティリティで書かれ、個別にバージョン管理、ホスティング、DevOpsサポートが必要だった膨大なカスタムスクリプトを維持する必要がなくなりました。

M&Aの簡素化

独立した企業として発足して以来、NTTデータは合併・買収(M&A)を軸に積極的な拡大路線を進めています。この方針はビジネスの機会と利点を創出する一方で、買収した組織をNTTデータ傘下に統合することが技術的な難題となっていました。

Ouellette氏は、次のように説明します。「以前は、新たに買収した組織を、当社の人事システムに簡単に統合できませんでした。社内のライフサイクル管理(LCM)システムで新しい従業員のアカウントをプロビジョニングするためのデータソースが存在しなかったのです。しかし、新しい従業員には初日から生産性を発揮してもらう必要があります。そのため、手作業でアカウントを作成せずに、重複や矛盾のないアカウントを作成してオンボーディングするにはどうすべきかという課題を抱えていました」

Oktaは、ドメイン統合、アカウント移行、アプリの自動プロビジョニングのためにすぐに使えるツールを標準で提供すると同時に、組織がこれらの基盤の上に独自の運用ニーズに合ったソリューションを構築する柔軟性も提供します。

NTTデータはこの方法で取り組みを進め、OnePlatformと呼ばれるツールを作成しました。Ouellette氏は、次のように語ります。「このツールは、私たちのすべてのカスタムアイデンティティサポートの基盤となる自社開発プラットフォームです。Okta WorkflowsとカスタムAPIをベースにしています。アイデンティティに関する新たな要件が発生した際には、サポート対象の各チームや組織向けにOnePlatform上に新しいモジュールを構築します」

M&Aを通じて入社する従業員は、Digital Front Door(DFD)というコンポーネントを通じて、必要なシステムへの早期アクセスが可能になります。これにより、セキュリティリスクと管理上の負担を最小限に抑えられます。

OktaをベースとしたOnePlatformのDFD機能により、指定された管理者は事前にプロビジョニングと移行を実行できます。DFDを使用すると、管理者はユーザーの役割に基づいてアプリケーションをプロビジョニングできます。また、Okta Workflowsによってアカウントのライフサイクルが管理され、新しいエンティティに参加しないユーザーのアカウントが自動的に停止されます。

このアプローチによって、従来の方法に比べて劇的に効率が向上しました。以前は人事担当者が新しい従業員ごとに「スケルトンレコード」や一時的な記録を作成していたため、重複が発生し、後で統合または削除する手間が必然的に生じていました。

「新しい従業員には初日から生産性を発揮してもらう必要があります。そのため、手作業でアカウントを作成せずに、重複や矛盾のないアカウントを作成してオンボーディングするにはどうすべきかという課題を抱えていました」

Okta Workflowsで悩みを大幅に軽減

NTTデータは大規模で複雑な組織です。 また同社のビジネスでは、アイデンティティがシステムやアプリケーションへのユーザーアクセスの単なるメカニズムではなく、オペレーションの中核となっています。55万以上のアイデンティティと100万以上のメールを管理しており、それぞれがチーム、個人、アプリケーションに属しています。

Ouellette氏は、次のように述べています。「連携していない複数の環境で作業していると、アカウント情報が1つのシステムで削除されても、別のシステムでは削除されないという状況が起きます。これを放置していると、監査で問題に直面します。Oktaでこの課題を解決できました」

NTTデータは、規模と複雑さの課題に直面しながらも、拡張性が高く管理しやすいソリューションを構築し、日常業務の迅速化と簡素化を実現できました。

Okta Workflowsを活用してOkta Workforce Identity Cloudの強固な基盤を変更することで、NTTデータは新規顧客のオンボーディングにかかる時間を3日からわずか4時間に短縮しました。数週間から数か月かかっていたユーザーのプロビジョニング解除も、30分未満で完了するようになりました。

また、アイデンティティ関連のサポートチケットは、数日ではなく、わずか3時間で解決できるようになりました。従来はタイムゾーンや地域が異なる従業員とメールや電話でやりとりしていましたが、今ではログで問題を特定して解決できます。

Ouellette氏は、次のように述べています。「連携していない複数の環境で作業していると、アカウント情報が1つのシステムで削除されても、別のシステムでは削除されないという状況が起きます。これを放置していると、監査で問題に直面します。Oktaでこの課題を解決することができました」

Okta Workflowsなら、コードを記述せずにアイデンティティプロセスの大規模な自動化を容易に実現できます。ライフサイクル管理、アプリケーションプロビジョニング、アカウント管理の課題解決にOkta Workflowsがどのように役立つか、その詳細については以下のリソースをご覧ください。

動画: Okta Workflowsの導入 — 初めてのフローを構築

ガイド: Okta Workflowsの導入

製品ページ:Okta Workflows

以上の内容は、原文(英語)の参考和訳であり、原文と内容に差異がある場合は、原文が優先されます。