2017-06-24

Slack のボットで 2FA(Two-Factor Authentication / 2要素認証) 未設定ユーザを監視する - Slack ボット実装編

Slack の Free Plan でも、API から 2FA の設定状況が見れることが分かりました. それを使ってボットが 2FA の設定状況を監視しレポートするようにしたいと思います.

作業環境

Slack
Node.js 6.11.0 LTS
Botkit 0.5.2

通知方法の検討

セキュリティに関することなのでキッチリ警告していきたいものの、あまり頻度が高いのも考え物. 加減が難しいところです…
今回は、未設定者に DM で週１回月曜日の 14時に通知し、Slack のチーム管理者向けに #sandbox へ未設定者一覧の支援依頼のメッセージを出力します. (未設定者を公開で晒すのも微妙なので、実際には管理者用チャンネルとかにした方が良いかもしれないですね)

Slack ボットの実装

const Botkit = require('botkit');
const cron = require('cron');

const controller = Botkit.slackbot();

const channel = '#sandbox';
const url = 'https://get.slack.help/hc/ja/articles/204509068-2%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B';

controller.spawn({
    token: process.env.bot_access_token
}).startRTM((err, bot, payload) => {

    new cron.CronJob({  cronTime: '00 00 14 * * 1',  timeZone: 'Asia/Tokyo',  start: true,  onTick: () => {

        let admins = [];
        let reports = [];
        bot.api.users.list({  token: process.env.access_token  }, (err, response) => {
            for (let member of response.members) {
                if (member.deleted || member.is_bot || member.name == 'slackbot') {
                    continue;
                }

                if (member.is_admin) {
                    admins.push(member.id)
                }

                if (!member.has_2fa) {
                    reports.push(member.id)
                }
            }

            if (reports.length != 0) {
                bot.say({
                    channel: channel,
                    text: `2FA の 未設定 ${reports.length} 人、み～つけた！ ` +
                          '管理者の人～、設定の仕方を助けてくださいませ. ' +
                          `設定の説明は <${url}|こっち> に あるよ. \n` +
                          `未設定者: ${createMentions(reports)}`
                });
            }

            for (let report of reports) {
                bot.startPrivateConversation({  user: report  }, (response, convo) => {
                    convo.say('Slack の 2FA(Two Factor Authentication / 二要素認証) 設定をしてくださいな. ' +
                              `設定の説明は <${url}|こっち> に あるよ. \n` +
                              `あとは ${bot.team_info.name} Slack チーム の 管理者 ${createMentions(admins)} に 聞くのもありだね.`
                    );
                });
            }
        });
    }});

    function createMentions(userIds) {
        let mentions = [];
        for (let userId of userIds) {
            mentions.push(` <@${userId}>`);
        }
        return mentions;
    }
});

まずは、cron モジュールを使ったボットにするため controller.spawn().startRTM() 内で処理を実装するボットを作ります. この辺りは Slack のボットで定時アクションで作ったものになります.

続いて定期処理を作るために new cron.CronJob() に cronTime: '00 00 14 * * 1' と処理、その他オプションを渡します. cronTime は秒分時日月曜日なので、'00 00 14 * * 1' は左３つで14時ちょうど、右３つで毎週月曜日となります.

14行目からメインのコードになります. チーム管理ユーザとレポート対象ユーザを保持するための配列を用意します.
続いてユーザー一覧を取得する Slack API を前回の通り bot.api.users.list() で token に OAuth で権限を与えられている方のトークンを渡します.

API から取得したユーザー一覧を for-of で回しながら admins と reports の配列を作成していきます. 削除済みとボットと “slackbot” はチェック不要なので continue します. “slackbot” さんは、なぜかボット判定が効かないので名前で判別しています.
続いて、is_admin でチーム管理者の判定をします. オーナーも is_admin が true で管理者に入ります. (もし外すなら is_primary_owner と is_owner でオーナー判定できます)
最後に今回の肝である has_2fa でレポート対象ユーザーの判定をします. 通常は無いはずですが、管理者が 2FA 未設定のケースを想定して is_admin と has_2fa は else if ではなく if で分けてます.

32行目から、管理者向けの通知になります.
レポート対象ユーザー reports が空でなければ bot.say() で指定チャンネルへ未設定者のリストを通知します.
※ 今回 const channel = '#sandbox'; とチャンネル名指定してますが、正式には https://slack.com/api/channels.list?token=[API_TOKEN] で調べた ID を使うべきです

42行目から、未設定者に対する DM になります.
未設定者の配列は for-of で回し、DM を送る bot.startPrivateConversation() を呼び出します.
bot.say() のように、直接メッセージを出せず、Conversation の形式で送ります. そのため bot.startPrivateConversation() の第２引数で渡すコールバック関数で受け取る第２引数 convo に対して say() を呼び出します.