Josys のアクセスライフサイクルで入退社管理を自動化

Josys のアクセスライフサイクル機能概要

Josys が提供する「アクセスライフサイクル」機能は、社員の入社から退職までに必要な SaaS アカウントや権限を自動で付与・回収できる仕組みです。HR システムや IdP のイベントをトリガーとして、コードレスでワークフローを構築できる点が大きな特徴です。本セクションでは、主要コンポーネントとその役割、導入時に留意すべきポイントを概観します。

1. アクセスライフサイクルの基本構成

アクセスライフサイクルは 「トリガー」・「アクション」・「ワークフローエディタ」 の３要素で成り立ちます。トリガーが外部システムからイベントを受信し、対応するアクション（アカウント作成や権限付与）を実行します。その流れを視覚的に組み立てられるのがワークフローエディタです。

ポイント：トリガーとアクションを組み合わせたワークフローにより、コードを書かずに「入社＝→ アカウント作成」「退職＝→ アカウント停止」を実現できます。

カスタムワークフロー作成手順とテンプレート活用

このセクションでは、標準テンプレートをベースにしたカスタマイズ方法と、ステップ追加の具体的な操作手順を説明します。まずは最小構成で動かし、実運用に合わせて段階的に拡張することが推奨されます。

2. テンプレート選択

標準テンプレート（オンボーディング・オフボーディング）は、業務上必須となる基本ステップを事前に組み込んでいます。最小設定で動作確認ができるため、導入初期のハードルを下げられます。

1. 管理コンソール → 「ワークフロー」メニューを開く
2. 「新規作成」ボタンをクリックし、テンプレート一覧から「オンボーディング（標準）」または「オフボーディング（標準）」を選択
3. テンプレート名を自社の命名規則に合わせて変更し、「保存」

補足：テンプレートは後から自由に編集可能です。まずはベースとして利用し、実運用で不足するステップだけ追加してください。

3. ステップの追加方法

各ステップは「トリガー」「アクション」「条件分岐」のいずれかの要素で構成されます。以下に操作手順を示します。

注意点：テストは本番環境と切り離したステージングアカウントで必ず実施し、誤った権限付与が起きないようにしてください。

トリガー設定とアクション定義の具体例

HR システムや IdP からのイベントを安全に受信し、正しいアクションへ橋渡しする方法を解説します。認証方式や属性マッピングのベストプラクティスも合わせて提示します。

4. HR システムからのトリガー

HRIS（Workday・SmartHR 等）で従業員情報が変更された際に、Webhook または API 経由で Josys に通知します。以下は設定フローです。

1. HR 側設定
2. 「新規従業員作成」や「退職」のイベントに対し、POST 先 URL として https://api.josys.com/webhook/hr を指定

3. 認証方式：HMAC 署名（SHA‑256）をリクエストヘッダー X-JOSYS-Signature に付与

4. Josys 側トリガー作成

5. 管理コンソール → 「トリガー」 → 「新規」 → 「Webhook」選択

6. 受信 JSON の項目（employee_id、department、status 等）をマッピングし、署名検証ロジックを有効化

7. 検証手順

8. HR システムでテストユーザーを作成し、Josys のトリガーログにイベントが記録されることを確認

根拠：OWASP API Security Top 10（A5 – “Broken Function Level Authorization”）では、外部からの Webhook 受信は必ず HMAC 等で改ざん防止することが推奨されています。また、NIST SP 800‑63B の「認証強度」でも「共有秘密キーによるメッセージ認証」が安全な手法として示されています。

5. SAML / SCIM 連携でのトリガー

SAML アサーションや SCIM API を利用すると、属性変更（部署異動・ロール更新）をリアルタイムに検知できます。

ポイント：属性マッピングミスは過剰権限付与の原因になるため、テストユーザーで属性変更とアクション実行を必ず照合してください。

6. 権限自動付与・通知アクション

トリガーが起動したら以下のようなアクションを組み合わせます。各アクションは JSON パラメータで柔軟に設定可能です。

1. SaaS アカウント自動発行

2. Create Account アクションに対象 SaaS（Google Workspace、Slack 等）とロールテンプレートを指定

3. 権限一括付与 / 削除

4. Bulk Permission アクションへ JSON 配列で権限リストを渡すことで、一括操作が実現

5. 通知メール送信

6. Send Email ステップで担当マネージャーや本人へ自動通知。件名・本文は ${employee_name} などの変数展開でカスタマイズ可能

ベストプラクティス：最小権限の原則（Least Privilege）に基づき、ロールテンプレートは不要な権限を除外した形で作成し、変更履歴を定期的にレビューします。

オンボーディング／オフボーディングシナリオとテキストフロー

Mermaid 図が表示できない環境でも内容が伝わるよう、手順ベースのテキストフローで代替しています。実際にはワークフローエディタ上で同様の流れをドラッグ＆ドロップで構築できます。

7. 新規入社シナリオ（オンボーディング）

1. HR システムから新規入社通知が Webhook で届く
2. ワークフロー開始 → Google Workspace と Slack のアカウント自動作成
3. 部門別ロールテンプレートを適用し、初期権限付与
4. 部署マネージャーへ承認メール送信（承認が必要な場合は条件分岐で実装）
5. 完了ログを出力し、監査レポートに自動記録

8. 退職者オフボーディングシナリオ

1. HR システムから退職通知が Webhook で届く
2. 全 SaaS アカウントのアクセスを即時無効化（アクション：Disable Account）
3. データ保管ポリシーに従い、Google Drive データは 30 日間保存後自動削除
4. 退職者別権限変更履歴レポートを生成
5. 人事担当へ完了通知メール送信

実務ポイント：オフボーディング時のアカウント無効化は即時に行うことで情報漏洩リスクを低減できます。データ保管期間は社内規程と法令（例：個人情報保護法）に合わせて設定してください。

監査ログ・レポート活用とコンプライアンス対応

Josys は全トリガー実行、権限変更、通知送信を 操作履歴 として保存し、CSV/JSON でエクスポート可能です。SOC 2、ISO 27001、GDPR 等の監査要件に活用できます。

9. ログ取得手順

1. 管理コンソール → 「レポート」 → 「操作履歴」タブを開く
2. フィルターで対象期間・ユーザー・イベント種別（例：ACCOUNT_CREATE, PERMISSION_REVOKE）を指定
3. 「エクスポート」ボタンから CSV または JSON をダウンロード

10. コンプライアンス対応チェックリスト

根拠：AWS の「S3 Object Lock」や Azure の「Immutable Blob Storage」は、ログの改ざん防止機能として広く推奨されています（CIS AWS Foundations Benchmark 5.1）。

次のステップ：リソース活用と導入支援

本稿で紹介した機能を実際に体験し、自社環境へ落とし込むための公式リソースをご案内します。

• アクセスライフサイクル製品ページ – 機能概要・設定手順
  https://www.josys.com/jp/features/access-automation

• 実装事例ブログ（2023‑12） – 具体的な導入ケースとベストプラクティス
  https://www.josys.com/jp/blog/2023-12-27-automate-employee-lifecycle-management

• リソースセンター – 無料デモ予約、ホワイトペーパー「SaaS アクセスライフサイクル最適化ガイド」等
  https://www.josys.com/jp/resources-center

これらの資料を活用し、まずは標準テンプレートで テスト環境 を構築してください。その後、社内の承認フローや権限マトリクスに合わせてカスタムステップを追加・調整することで、アクセス管理の自動化とコンプライアンス対応を同時に実現できます。

本稿は 2026 年 6 月現在の情報に基づき作成しています。製品仕様やベストプラクティスは定期的に更新されるため、最新情報は公式サイトをご確認ください。