Okta用 にSCIMを構成する

アドバンストサーバーアクセスはOkta Integration Network (OIN)の一部として、ユーザーグループをOkta Universal Directoryから同期できます。これにより、アドバンストサーバーアクセスへのユーザー、メンバー、ロールのアクセス管理が容易になります。Oktaは SCIM (System for Cross-domain Identity Management)仕様を用いてこれを実行しています。SCIM 統合は以下の機能をサポートしています。

  • ユーザーの作成: Oktaでアドバンストサーバーアクセスに割り当てられているユーザーは、アドバンストサーバーアクセスで自動的に作成されます。
  • ユーザー属性の更新: Oktaのユーザー属性の変更は、対応するアドバンストサーバーアクセスのユーザーに適用されます。
  • ユーザーのディアクティベート: Oktaでアドバンストサーバーアクセスの割り当てが解除されたユーザーは、アドバンストサーバーアクセスまたはそれにより保護されるリソースにアクセスできなくなります。

Oktaからの同期を有効にするには、以下の手順に従ってください。

  1. Okta 管理者ダッシュボードでOktaアドバンストサーバーアクセスアプリケーションを開き、[Provisioning (プロビジョニング)]タブをクリックします。
  2. [Confiure API Integration (API統合の構成)]をクリックします。
  3. [Enable API Integration (API統合を有効化)] を選択して、[Authenticate with Okta Advanced Server Access (Oktaアドバンストサーバーアクセスで認証する)]をクリックします。
  4. チーム名を[Add a Team (チームを追加する)]フィールドに入力してから、矢印矢印ボタンをクリックします。[Grant Permissions (許可を付与する)]ウィンドウが開きます。
  5. OktaはSCIMでユーザーとグループを管理する許可をリクエストし、 サービスユーザーを作成します。[Username (ユーザー名)]フィールドにサービスユーザーの名前を入力し、[Approve (承認する)]をクリックします。
  6. Oktaにリダイレクトされたら[Save (保存する)]をクリックします。
  7. [Provisioning (プロビジョニング)]タブをクリックします。
  8. [To App (対象アプリ)]をクリックします。
  9. [Edit(編集)]をクリックします。
  10. Create Users(ユーザーを作成)]、[Update User Attribute(ユーザー属性の更新)]または[Deactivate Users(ユーザーをディアクティベート)]を選択して有効にします。
  11. [Save(保存)]をクリックします。

Oktaユーザーが直接アドバンストサーバーアクセスにプロビジョニングされるようになり、Okta内のユーザーに加えた変更は、アドバンストサーバーアクセスでも自動的に反映されます。

注

Oktaでプロビジョニングを有効にする前にアドバンストサーバーアクセスに割り当てられたユーザーは、Oktaによる管理の対象外となります。このようなユーザーをOktaで管理するには、アドバンストサーバーアクセスアプリケーションで割り当てを解除してから再割り当てする必要があります。多くのユーザーの割り当てが管理しやすくなるよう、グループ別にユーザーを追加することを推奨します。

アドバンストサーバーアクセスのユーザー名

デフォルトでは、ユーザーのOktaユーザー名のローカル部分は、アドバンストサーバーアクセスのサーバーユーザー名として使用されます。例えば、first.lastがOktaユーザー名first.last@example.comのローカル部分です。

あるユーザーのOktaユーザー名に文字、数字、ピリオド(.)、 ダッシュ(-)または下線(_)以外の字が使用されている場合、上記のユーザーのみを含むユーザー名を作成して、そのユーザーのOktaにおけるアドバンストサーバーアクセスのユーザー名として割り当てる必要があります。

UnixとWindowsサーバーのユーザー名は、OktaではそれぞれUnixUserNameおよびwindowsUserNameと定義されています。値が何も設定されていない場合、アドバンストサーバーアクセスがユーザー名を作成し、Oktaユーザー名に使われているピリオドを下線に置き換えることで、確実に安全なサーバーユーザー名にします。例えば、first.last@example.comから作成されるWindowsユーザー名はfirst_lastのようにします。UnixUserNameフィールドとwindowsUserNameフィールドにはピリオドを使用したユーザー名を指定できます。この場合、アドバンストサーバーアクセスは定義された通りのユーザー名を使用します。ユーザー名は、Unixユーザー名で32文字に、Windowsユーザー名では20文字に短縮されます。

サーバーユーザー名は、unixUserNamewindowsUserNameのマッピングを、Oktaのアドバンストサーバーアクセスのインスタンスにある[Provisioning (プロビジョニング)]タブで構成することで、カスタマイズできます。「プロファイルと属性の操作」を参照。

次のステップ

グループ同期を構成する

アドバンストサーバーアクセスの サーバーを展開するを展開する