Contents
Josys のアクセスライフサイクル機能概要
Josys が提供する「アクセスライフサイクル」機能は、社員の入社から退職までに必要な SaaS アカウントや権限を自動で付与・回収できる仕組みです。HR システムや IdP のイベントをトリガーとして、コードレスでワークフローを構築できる点が大きな特徴です。本セクションでは、主要コンポーネントとその役割、導入時に留意すべきポイントを概観します。
1. アクセスライフサイクルの基本構成
アクセスライフサイクルは 「トリガー」・「アクション」・「ワークフローエディタ」 の3要素で成り立ちます。トリガーが外部システムからイベントを受信し、対応するアクション(アカウント作成や権限付与)を実行します。その流れを視覚的に組み立てられるのがワークフローエディタです。
| コンポーネント | 主な機能 | 参考情報 |
|---|---|---|
| トリガー | Webhook/API・SCIM イベント受信、イベント種別ごとのフィルタリング | 【アクセスライフサイクル】Josys 製品ページ |
| アクション | SaaS アカウント自動発行、権限一括付与/削除、メール通知等 | 同上 |
| ワークフローエディタ | テンプレート選択、ドラッグ&ドロップでステップ構築、条件分岐・承認フロー設定 | 同上 |
ポイント:トリガーとアクションを組み合わせたワークフローにより、コードを書かずに「入社=→ アカウント作成」「退職=→ アカウント停止」を実現できます。
カスタムワークフロー作成手順とテンプレート活用
このセクションでは、標準テンプレートをベースにしたカスタマイズ方法と、ステップ追加の具体的な操作手順を説明します。まずは最小構成で動かし、実運用に合わせて段階的に拡張することが推奨されます。
2. テンプレート選択
標準テンプレート(オンボーディング・オフボーディング)は、業務上必須となる基本ステップを事前に組み込んでいます。最小設定で動作確認ができるため、導入初期のハードルを下げられます。
- 管理コンソール → 「ワークフロー」メニューを開く
- 「新規作成」ボタンをクリックし、テンプレート一覧から「オンボーディング(標準)」または「オフボーディング(標準)」を選択
- テンプレート名を自社の命名規則に合わせて変更し、「保存」
補足:テンプレートは後から自由に編集可能です。まずはベースとして利用し、実運用で不足するステップだけ追加してください。
3. ステップの追加方法
各ステップは「トリガー」「アクション」「条件分岐」のいずれかの要素で構成されます。以下に操作手順を示します。
| 操作 | 手順 |
|---|---|
| ステップ追加 | エディタ左側の「ステップ」パレットから目的の要素(例:アクション – SaaS アカウント発行)をドラッグし、キャンバス上にドロップ |
| 順序変更 | 追加したステップをクリックして上下にドラッグ。実行順が自動で更新されます |
| 設定入力 | ステップ選択後に右側に表示されるパネルへ、対象 SaaS アプリや権限ロールなどの必須パラメータを入力 |
| 保存・テスト | 「保存」→「テスト実行」でサンプルデータを流し、期待通りに処理されるか検証します |
注意点:テストは本番環境と切り離したステージングアカウントで必ず実施し、誤った権限付与が起きないようにしてください。
トリガー設定とアクション定義の具体例
HR システムや IdP からのイベントを安全に受信し、正しいアクションへ橋渡しする方法を解説します。認証方式や属性マッピングのベストプラクティスも合わせて提示します。
4. HR システムからのトリガー
HRIS(Workday・SmartHR 等)で従業員情報が変更された際に、Webhook または API 経由で Josys に通知します。以下は設定フローです。
- HR 側設定
- 「新規従業員作成」や「退職」のイベントに対し、POST 先 URL として
https://api.josys.com/webhook/hrを指定 -
認証方式:HMAC 署名(SHA‑256)をリクエストヘッダー
X-JOSYS-Signatureに付与 -
Josys 側トリガー作成
- 管理コンソール → 「トリガー」 → 「新規」 → 「Webhook」選択
-
受信 JSON の項目(employee_id、department、status 等)をマッピングし、署名検証ロジックを有効化
-
検証手順
- HR システムでテストユーザーを作成し、Josys のトリガーログにイベントが記録されることを確認
根拠:OWASP API Security Top 10(A5 – “Broken Function Level Authorization”)では、外部からの Webhook 受信は必ず HMAC 等で改ざん防止することが推奨されています。また、NIST SP 800‑63B の「認証強度」でも「共有秘密キーによるメッセージ認証」が安全な手法として示されています。
5. SAML / SCIM 連携でのトリガー
SAML アサーションや SCIM API を利用すると、属性変更(部署異動・ロール更新)をリアルタイムに検知できます。
| 手順 | 内容 |
|---|---|
| 1. IdP 設定 | Okta・Azure AD 等で SCIM Provisioning を有効化し、Josys のエンドポイント https://api.josys.com/scim/v2/Users を登録 |
| 2. 属性マッピング | department、role などの属性を Josys 側カスタムフィールドに紐付け |
| 3. トリガー作成 | 管理コンソールで「SCIM イベント」トリガーを追加し、update アクション時に対象ワークフローを起動 |
ポイント:属性マッピングミスは過剰権限付与の原因になるため、テストユーザーで属性変更とアクション実行を必ず照合してください。
6. 権限自動付与・通知アクション
トリガーが起動したら以下のようなアクションを組み合わせます。各アクションは JSON パラメータで柔軟に設定可能です。
- SaaS アカウント自動発行
-
Create Accountアクションに対象 SaaS(Google Workspace、Slack 等)とロールテンプレートを指定 -
権限一括付与 / 削除
-
Bulk Permissionアクションへ JSON 配列で権限リストを渡すことで、一括操作が実現 -
通知メール送信
Send Emailステップで担当マネージャーや本人へ自動通知。件名・本文は${employee_name}などの変数展開でカスタマイズ可能
| アクション | 主なパラメータ例 |
|---|---|
| Create Account | app_id: "google_workspace", role_template: "new_employee" |
| Bulk Permission | permissions: [{app:"slack",role:"member"},{app:"github",role:"read"}] |
| Send Email | to: "${manager_email}", subject: "[自動通知] ${employee_name} さんが入社しました" |
ベストプラクティス:最小権限の原則(Least Privilege)に基づき、ロールテンプレートは不要な権限を除外した形で作成し、変更履歴を定期的にレビューします。
オンボーディング/オフボーディングシナリオとテキストフロー
Mermaid 図が表示できない環境でも内容が伝わるよう、手順ベースのテキストフローで代替しています。実際にはワークフローエディタ上で同様の流れをドラッグ&ドロップで構築できます。
7. 新規入社シナリオ(オンボーディング)
- HR システムから新規入社通知が Webhook で届く
- ワークフロー開始 → Google Workspace と Slack のアカウント自動作成
- 部門別ロールテンプレートを適用し、初期権限付与
- 部署マネージャーへ承認メール送信(承認が必要な場合は条件分岐で実装)
- 完了ログを出力し、監査レポートに自動記録
8. 退職者オフボーディングシナリオ
- HR システムから退職通知が Webhook で届く
- 全 SaaS アカウントのアクセスを即時無効化(アクション:
Disable Account) - データ保管ポリシーに従い、Google Drive データは 30 日間保存後自動削除
- 退職者別権限変更履歴レポートを生成
- 人事担当へ完了通知メール送信
実務ポイント:オフボーディング時のアカウント無効化は即時に行うことで情報漏洩リスクを低減できます。データ保管期間は社内規程と法令(例:個人情報保護法)に合わせて設定してください。
監査ログ・レポート活用とコンプライアンス対応
Josys は全トリガー実行、権限変更、通知送信を 操作履歴 として保存し、CSV/JSON でエクスポート可能です。SOC 2、ISO 27001、GDPR 等の監査要件に活用できます。
9. ログ取得手順
- 管理コンソール → 「レポート」 → 「操作履歴」タブを開く
- フィルターで対象期間・ユーザー・イベント種別(例:
ACCOUNT_CREATE,PERMISSION_REVOKE)を指定 - 「エクスポート」ボタンから CSV または JSON をダウンロード
10. コンプライアンス対応チェックリスト
| チェック項目 | 実施方法 | 推奨頻度 |
|---|---|---|
| 権限過剰付与の検出 | PERMISSION_GRANT ログを集計し、ロールごとの平均付与数が閾値超えていないか確認 |
月次 |
| トリガー遅延監視 | Webhook 受信時刻とワークフロー完了時刻の差分をモニタリング。5 分以上遅延した場合はアラート設定 | 24 時間ごと |
| データ保管ポリシー遵守 | 退職者データ保持期間レポートを自動生成し、社内規程と照合 | 四半期毎 |
| ログ改ざん防止 | 操作履歴を書き込み権限が限定された S3 バケットや SIEM ツールに転送・署名付きで保存 | 継続的 |
根拠:AWS の「S3 Object Lock」や Azure の「Immutable Blob Storage」は、ログの改ざん防止機能として広く推奨されています(CIS AWS Foundations Benchmark 5.1)。
次のステップ:リソース活用と導入支援
本稿で紹介した機能を実際に体験し、自社環境へ落とし込むための公式リソースをご案内します。
-
アクセスライフサイクル製品ページ – 機能概要・設定手順
https://www.josys.com/jp/features/access-automation -
実装事例ブログ(2023‑12) – 具体的な導入ケースとベストプラクティス
https://www.josys.com/jp/blog/2023-12-27-automate-employee-lifecycle-management -
リソースセンター – 無料デモ予約、ホワイトペーパー「SaaS アクセスライフサイクル最適化ガイド」等
https://www.josys.com/jp/resources-center
これらの資料を活用し、まずは標準テンプレートで テスト環境 を構築してください。その後、社内の承認フローや権限マトリクスに合わせてカスタムステップを追加・調整することで、アクセス管理の自動化とコンプライアンス対応を同時に実現できます。
本稿は 2026 年 6 月現在の情報に基づき作成しています。製品仕様やベストプラクティスは定期的に更新されるため、最新情報は公式サイトをご確認ください。