Okta用にSCIMを構成する

Okta Integration Network(OIN)の一部であるAdvanced Server Accessは、Okta Universal Directoryからのユーザーグループを同期できます。これにより、Advanced Server Accessのユーザー、メンバーシップ、ロールの管理が容易になります。そのために、OktaSCIM(System for Cross-domain Identity Management)仕様を使用します。SCIM統合では、以下の機能がサポートされます。

  • ユーザーの作成:OktaAdvanced Server Accessに割り当てられているユーザーは、Advanced Server Accessで自動的に作成されます。
  • ユーザー属性の更新:Oktaでユーザー属性に加えた変更は、対応するAdvanced Server Accessユーザーにも適用されます。
  • ユーザーの非アクティブ化:OktaAdvanced Server Accessの割り当てが解除されたユーザーは、Advanced Server Accessまたはそれが保護するリソースにアクセスできなくなります。

Oktaからの同期を有効にするには、以下の手順に従います。

  1. Okta管理者ダッシュボードでOkta Advanced Server Accessアプリケーションを開き、[Provisioning(プロビジョニング)]タブをクリックします。
  2. Confiure API Integration(API統合の構成)]をクリックします。
  3. Enable API Integration(API統合を有効化)]を選択し、[Authenticate with Okta Advanced Server Access(Okta Advanced Server Accessで認証する)]をクリックします。
  4. Add a Team(チームを追加する)]フィールドにチーム名を入力し、矢印ボタン(矢印ボタン)をクリックします。[Grant Permissions(権限を付与)]ウィンドウが表示されます。
  5. Oktaが、SCIMを使ってユーザーとグループを管理する権限とサービスユーザーを作成する権限をリクエストします。[Username (ユーザー名)]フィールドにサービスユーザーの名前を入力し、[Approve (承認する)]をクリックします。
  6. Oktaにリダイレクトされたら、[Save(保存)]をクリックします。
  7. [Provisioning(プロビジョニング)]タブをクリックします。
  8. [アプリへ]をクリックします。
  9. [Edit(編集)]をクリックします。
  10. [ユーザーを作成][ユーザー属性を更新]または[ユーザーの非アクティブ化]を選択して有効にします。
  11. [Save(保存)]をクリックします。

OktaユーザーがAdvanced Server Accessに直接プロビジョニングされるようになり、Oktaでユーザーに加えた変更は、自動的にAdvanced Server Accessに反映されるようになります。

注

Oktaでプロビジョニングを有効にする前にAdvanced Server Accessに割り当てられたユーザーは、Oktaによる管理の対象外となります。このようなユーザーをOktaで管理するには、Advanced Server Accessのアプリケーションで割り当てを解除してから割り当てなおす必要があります。多くのユーザーの割り当てが管理しやすくなるように、グループ別にユーザーを追加することをお勧めします。

Advanced Server Accessのユーザー名

デフォルトでは、ユーザーのOktaユーザー名のローカル部分は、Advanced Server Accessではサーバーのユーザー名として使用されます。たとえば、Oktaユーザー名first.last@example.comのローカル部分はfirst.lastです。

あるユーザーのOktaユーザー名でアルファベット、数字、ピリオド(.)、ダッシュ(-)または下線(_)以外の字が使用されている場合、上記の文字のみで構成されるユーザー名を作成し、OktaでそのユーザーのAdvanced Server Accessのユーザー名として割り当てる必要があります。

UnixおよびWindowsサーバーのユーザー名は、OktaではそれぞれunixUserNamewindowsUserNameと定義されています。これらの値が定義されていない場合、Advanced Server Accessがユーザー名を作成します。サーバーのユーザー名の安全を確保するために、Oktaユーザー名で使われているピリオドは下線に置き換えられます。たとえば、first.last@example.comから作成されるWindowsユーザー名は、first_lastとなります。UnixUserNameフィールドとwindowsUserNameフィールドには、ピリオドを使ったユーザー名を指定できます。この場合、Advanced Server Accessは定義された通りのユーザー名を使用します。ユーザー名は、Unixユーザー名で32文字、Windowsユーザー名で20文字で切り捨てられます。

サーバーのユーザー名は、OktaAdvanced Server Accessインスタンスの[Provisioning(プロビジョニング)]タブでunixUserNamewindowsUserNameのマッピングを構成することでカスタマイズできます。「プロファイルと属性の操作」をご覧ください。

次のステップ