Okta おくた
シングルサインオンアイデンティティ管理SAMLOAuthゼロトラストMFA
Oktaについて教えて
簡単に言うとこんな感じ!
Oktaは「社員の入り口を一本化する受付システム」だよ!SlackもSalesforceもGoogleも、Oktaに1回ログインするだけで全部使えるようになるんだ。しかも「本当にその人か?」を厳しくチェックする機能も持ってるってこと!
Oktaとは
Okta(オクタ) は、クラウドを中心とした アイデンティティ・アクセス管理(IAM: Identity and Access Management) のプラットフォームです。2009年にアメリカで創業し、現在では世界18,000社以上が利用する業界最大手のサービスです。
Oktaの中核機能は シングルサインオン(SSO) です。SSOとは「1回のログインで複数のサービスをまとめて使えるようにする仕組み」のこと。社員がOktaにログインするだけで、社内で契約しているSaaS(クラウドサービス)すべてにアクセスできます。毎朝何個もパスワードを入力する手間がなくなり、セキュリティも向上します。
また、「どの社員がどのシステムを使えるか」を一元管理する プロビジョニング(アカウントの自動作成・削除) 機能も持っています。新入社員が入ったらOktaに登録するだけで必要なシステムへのアクセス権が一斉に付与され、退職者のアクセスも即座に全サービスで遮断できます。これにより、退職後もアカウントが残るといった シャドーアクセス のリスクを防げます。
Oktaの主な機能構成
| 機能カテゴリ | 機能名 | 何ができるか |
|---|---|---|
| 認証 | シングルサインオン(SSO) | 1回のログインで全SaaSにアクセス |
| 認証強化 | 多要素認証(MFA) | パスワード+スマホ認証などで不正ログイン防止 |
| 自動化 | ライフサイクル管理 | 入社・異動・退職時のアカウントを自動操作 |
| 連携 | Universal Directory | 社内のActive DirectoryやLDAPと統合 |
| API保護 | API Access Management | 外部アプリとのAPI接続をOktaで認可 |
| 顧客向け | Customer Identity(CIAM) | 自社サービスのユーザー認証基盤として利用 |
覚え方:「O・K・T・A」で整理する
| 文字 | 覚え方 | 意味 |
|---|---|---|
| O | One Login | 1回のログインで全部OK |
| K | Key Management | アクセス権の鍵を一元管理 |
| T | Trust Zero | ゼロトラストの考え方に基づく |
| A | Automated Provisioning | アカウントを自動で作成・削除 |
Okta製品ラインの2系統
Oktaは大きく2つの市場に向けた製品を持っています。
- Workforce Identity(WIC):社員・パートナー向け。社内SaaS管理が中心
- Customer Identity Cloud(CIC):旧Auth0。自社サービスのユーザー認証基盤を構築する開発者向けプラットフォーム(2021年にOktaがAuth0を買収)
歴史と背景
- 2009年 — Todd McKinnon・Frederic Kerrest がサンフランシスコで創業。Salesforceの元エンジニアが「クラウド時代のID管理が必要」と着想
- 2010年代前半 — AWSやSalesforceなどのSaaSが企業に急速に普及。複数サービスのID管理が煩雑になり始める
- 2017年 — Nasdaq上場。クラウドIDの標準プレイヤーとして地位を確立
- 2021年 — 開発者向けIDプラットフォーム Auth0 を約6,500億円で買収。顧客ID(CIAM)市場にも本格参入
- 2022年 — ハッカー集団LApsus$による情報漏洩インシデントが発生し、セキュリティ管理体制の見直しを迫られる
- 現在 — ゼロトラストセキュリティの文脈でMicrosoftのAzure AD(Entra ID)と双璧をなすIDaaS(Identity as a Service)の最大手
競合・類似サービスとの比較
Oktaに似たサービスは複数あります。自社の環境によって最適な選択肢が変わります。
| サービス | 提供元 | 特徴 | 向いているケース |
|---|---|---|---|
| Okta | Okta Inc. | マルチクラウド・マルチSaaSに強い | SaaS多数・Microsoft以外も多く使う企業 |
| Microsoft Entra ID | Microsoft | Microsoft 365との統合が深い | Microsoft製品中心の企業 |
| Google Cloud Identity | Google Workspaceとの親和性が高い | Google環境中心の企業 | |
| OneLogin | One Identity | シンプルで中堅企業向け | 機能をシンプルに使いたい企業 |
| Auth0(Okta CIC) | Okta(買収) | API・開発者向けに高機能 | 自社サービスのログイン基盤を作りたい開発者 |
Oktaの認証フロー(SSOの仕組み)
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 6749 | OAuth 2.0 — APIアクセスの認可フレームワーク。OktaのAPI連携の基盤 |
| RFC 7519 | JWT(JSON Web Token)— Okta がトークン発行に使う標準形式 |
| RFC 8414 | OAuth 2.0 Authorization Server Metadata — Oktaのディスカバリエンドポイント仕様 |
| RFC 7636 | PKCE(Proof Key for Code Exchange)— モバイルアプリ向けOAuth強化仕様 |
※ SAMLはOASIS標準(SAML 2.0)、OIDCはOpenID Foundationが管理。Oktaはいずれもフルサポートしています。
関連用語
- シングルサインオン(SSO) — 1回のログインで複数システムにアクセスできる仕組み
- SAML — SSOで使われるXMLベースの認証連携プロトコル
- OAuth — APIアクセスの認可を委譲するための標準プロトコル
- OpenID Connect(OIDC) — OAuthの上に構築されたID認証の標準仕様
- 多要素認証(MFA) — パスワード以外の要素を追加してセキュリティを強化する認証方式
- ゼロトラスト — 「社内だから安全」を前提にしないセキュリティの考え方
- アイデンティティ管理(IAM) — 誰がどのシステムにアクセスできるかを管理する仕組み全般
- Active Directory — Microsoftのオンプレミス向けID・認証管理基盤