AzureAD以外でMSとSSOするとOOBE中にOktaのセットアップが走る件について
Q.どんなケースでこんな事がおこるんですか
A.すでにMSとOkta(AzureAD以外のIdP)が連携してる状態で、新入社員にIdP側にアカウントを発行しています。その状態で、新規のWindows Proの端末でOOBEの途中に起こります。走らない場合もある
なんで
そりゃ、Oktaのアカウントの設定が未完だからだよ。
というわけで、そんな問題の回避方法というか、ヘイシャーだとこうしてます。を書いてみる。
なんでこんなことになるのか
Oktaのアカウントは発行されてる、でもアカウントは設定は全て終わっていない。だけどOktaと連携済みのアカウントにログインしようとした。そんな場合は、招待メール以外でも初回登録を促されます。そりゃそうだな。未完成の状態のアカウントは通せませんもん。
なので、OOBE途中だろうがなんだろうが問答無用でOktaの初期設定が走ります。
青色のOOBE画面が突然POPなOktaの初期設定になると思うとウケる
ウケないけど。
という感じなので、OktaでMSのSSOをする時はこんなところにも影響するので気に留めておいてください。MSとの連携時の影響範囲は広いぞ
どのタイミングでOktaのセットアップが走るのか
影響するのは、Auzure AD joinするタイミングになります。
なので、アカウトの選択を行うタイミングです。個人のアカウントか組織のアカウントかってところですね。画像はないです。写真を撮る元気はちょっとなかった。
なお、ActiveDirectoryがある場合は、これは起こりません。
なので、ADがあるよって場合はこの記事は読まなくていいです。ADを抹消する予定がある場合は読んで損はないかもしれません。
じゃあ、どうする
その1. OOBE中のOktaアカウントセットアップを受け入れる
OOBE中にOktaのセットアップが走るのは仕方ない!と思って、途中で青い画面からポップな画面で設定をするのを受け入れる。
ちなみにOktaのセットアップに時間かけすぎるとOOBEにお戻ってもなんか挙動がおかしくなったりする。罠
ちなみにOktaのアカウントセットアップは、招待メールから行う時と同じです。
ユーザーの作成時にAdminが仮のパスワードを作りますが、この時に初回でパスワードを変更するをチェック忘れないように気をつけてね。
また、ActiveDirectoryがマスタの場合は、これはない。じゃあこのためにActiveDirectoryをつくるか?って聞かれたらそれはないと思う。
その2. 上司とか情シスが事前にセットアップしておいて、後から多要素とパスワードを変えてもらう
事前にある程度セットアップをしておいてあげるパターン。入社人数とかがそんなにいないならやってもいいかもしれない。あんまりやりたくないけど。
この時、情シスや上司個人のスマホにOkta Verifyをいれるんじゃなくて、共有のスマホ(内線みたいなね)に入れておくのが無難だと思う。
本人は、OOBE途中に作ってもらったパスワードと、Okta Verify突破してOOBEも終わらせた後にOktaの管理者がOkta Verifyの関連を一回解除し、設定から本人が任意のパスワードを設定する。
これありなのか無しなのかでいうと微妙と思っているけど、あんまりセットアップに時間かけられないよって場合なら仕方ないかなって思ったりしてる。この時にパスワードはSet by userにしてもAdminにしてもどっちにしてもいいかなと。
その3. セカンダリメールを登録して事前にセットアップをしてもらう
ユーザー登録の時にセカンダリメールが登録できます。
このセカンダリメールはパスワード忘れの時などにも使えるのですが、登録しておくと、Oktaの招待メールも届きます。
なので、当日などにセカンダリメールを登録した形でユーザー登録を行い、スマホでアカウント登録してもらいスマホで登録をしてもらいましょう。
入社前に招待メールを送るのもありですが、その場合は入社同意書やNDAを結んでいなければ、アプリのアサインなどは控えましょう。
その4. 全部初期セットアップをこちらでやってから渡す
WindowsのOOBEや他サービスのインストールもあればそれまですべてセットアップしてユーザーに渡してあげる。まぁこれも1つの案ですが、情シスが少なかったり、入社スピードが早いとしんどいと思います。
この場合は、ユーザーに端末を渡した後に、Oktaのパスワードや、Windows端末のPINの変更などはしてもらいましょう
今のところ私が考える、セットアップでいい感じのはこんな感じです。
他が思い浮かぶものがあればまた追記していこうかなと思います。
お昼ご飯代で使います