2015年7月5日日曜日

[AzureAD]エンドユーザによるアプリケーション利用申請と承認

※今回紹介する機能にはPreview機能を含みます。今後の機能変更などが発生する可能性があるので、ご注意ください。

こんにちは、富士榮です。

組織のID管理の設計をしていると必ず出てくるのが「アプリケーションの割り当てをどのようなフローで行うか」という課題です。
パターンとして、
①特定のユーザ属性をみて機械的に割り当てる(例えば正社員は自動的に割り当て等)
②管理者による手動割り当て
③既存のワークフローシステムとの統合
④ID管理システム自体に申請~承認フローを組み込む
などがありますが、それなりに複雑化しやすく工数もかさむのでスタート時点では①の方法である程度自動化しておいて②の方法で例外ユーザを登録していく、という形で決着することが経験上は多い気がします。

ただ、アプリケーションが増えてきたり、必ずしも大多数の人が使うとも限らないアプリケーション(例えばプロジェクト専用アプリケーションなど、特定の業務用のもの)では機械的に割り当てるルールを書くのが困難な場合もあります。

そのような場合、利用者自身による利用申請~管理者による承認、という簡易ワークフローのような機能があると重宝します。

Azure Active Directory(AzureAD)にもアプリケーション利用のための簡易ワークフロー機能がPreviewとして提供されています。

早速確認してみます。

◆ユーザ自身が申請ができるようにアプリケーションを構成する

設定はアプリケーション単位で行います。
対象のアプリケーションを開き、[構成]メニューより[セルフサービスアクセス]設定を行います。

設定項目は以下の3点です。
・アプリケーションのセルフ サービス アクセスを許可する
 ⇒許可するかどうかのON/OFF設定
・アクセス権を付与する前に承認を要求します
 ⇒申請に対する承認が必要かどうか。承認が不要であれば、申請した段階で自動的に割り当てられる。
・承認者
 ⇒承認するユーザを選択します。複数人選択することは出来ますが多段階の承認フローなど複雑なことは出来ません。




◆利用申請を行う

アプリケーションパネル(https://myapps.microsoft.com)へアクセス、申請を行うユーザでログインします。
申請可能なアプリケーションがテナントに存在すると[アプリケーションをさらに取得]というアイコンが表示されるようになっているので、クリックして申請を行います。






これで申請は完了です。

◆利用申請を承認する

今度は先ほど承認者として設定したユーザで同じくアプリケーションパネルへログインします。
[承認]というメニューが出てくるのでクリックします。


すると申請一覧が表示されるので、選択して[Approve]をクリックして承認を行います。



◆承認されたアプリケーションが利用できるようになっていることを確認する

先ほど申請したユーザで再度アプリケーションパネルへログインします。
すると、アプリケーション一覧が更新されており、申請したアプリケーションが利用できるようになっています。




ワークフロー単体としてみると機能はかなり限定的ではありますが、一部のアプリケーションにのみ適用するなどすれば管理負荷を下げることができると思います。

0 件のコメント: