シンジです。シンジは情シスかつセキュリティ責任者なので、Backlogを使う上ではそーゆー立ち位置で評価するのですが、BacklogってSAMLは喋られないし、管理者権限の扱いがあってないような感じだし、ISMS的にいわれるところだと管理者権限の棚卸しとかが絶望でしか無いので、クラウドっぽくAPIを活用することで乗り切ろうとしている施策の話です。
そもそもcloudpackのBacklog利用状況は
お客様との案件管理に利用しているのがメインで、自分たちのタスク管理は一部になります。従って、プロジェクトが新規で発生すると「管理者権限」を持ったユーザが新規のBacklogプロジェクトを発行し、「管理者権限」を持ったユーザが、プロジェクトにユーザを追加し、などなどといえばもうお分かりかと思いますが、頻繁に発生する作業の多くに「管理者権限」が必要になるわけです。
シンジ的には管理者は少数であるべきと思う
のですが、上記の都合上、構築担当とか営業担当が「管理者権限」を持っている方が圧倒的に業務効率が高くなるわけです。とかなんとか言ってると、結局全員が「管理者権限」を持つ事になるというカオスな状態になるわけで。
ある日それを辞めた
管理者権限を持つのはBackofficeチームだけにして、プロジェクトの作成依頼やユーザの追加削除を「メールでBackofficeに依頼する」という絶望が開始されました。もう絶望しかない。でもやるしかなかった。
ある日シンジは目覚めた
目覚めた瞬間のSlackがこちら
- 管理者権限をもっと絞ろう
- 管理者権限で行われた操作のログを取ろう
- 「社内のユーザー」であれば管理者権限を持っているかのような振る舞いをさせよう
ざっくりまとめるとこんな感じです。
ハイパーエンジニア山口君が実装した
構成的にはこんなかんじ
特徴
- やってみたかったというだけでAmazon ECSを使う心意気
- 認証は社内閉域網内のADからSSOさせる
- もちろん多要素認証もする
- 操作権限欲しいなら理由書かせる、もしくはプルダウンかな?検討中
- どうしても管理者権限欲しいときは制限時間付き(5分)とかで発行して自動で剥奪
- これで監査もバッチリやん
- といいつつBacklogにはCloudTrailに相当するものがないのでやっぱり微妙
単純なインターフェース
メニューを開くとこんな感じ(β)
プロジェクトを作ってみる(β)
至ってシンプルである。まだまだベータ版なのでもうちょいリッチになる予定。
ログもバッチリ可視化されているのである。見せられないけど。
まだまだ構想段階・実装段階ではあるので、いろいろ変更になる可能性大。
あーBacklogマジBacklog
すごい便利なんだけど、プロジェクト数が4桁いくからなー。。。たぶんターゲットに合ってないんだろうなウチは。。。
