Okta用にSCIMを構成する
Okta Integration Network(OIN)の一部であるアドバンストサーバーアクセスは、Okta Universal Directoryからのユーザーとグループを同期できます。これにより、アドバンストサーバーアクセスのユーザー、メンバーシップ、ロールの管理が容易になります。そのために、Oktaは SCIM(System for Cross-domain Identity Management)仕様を使用します。SCIM統合では、以下の機能がサポートされます。
- ユーザーの作成:Oktaでアドバンストサーバーアクセスに割り当てられているユーザーは、アドバンストサーバーアクセスで自動的に作成されます。
- ユーザー属性の更新:Oktaでのユーザー属性の変更は、アドバンストサーバーアクセスの対応ユーザーに適用されます。
- ユーザーの非アクティブ化:Oktaでアドバンストサーバーアクセスの割り当てが解除されたユーザーは、アドバンストサーバーアクセスまたはそれが保護するリソースにアクセスできなくなります。
Oktaから同期を有効にするには、以下の手順に従います。
- Okta 管理者ダッシュボードでOkta Advanced Server Accessアプリケーションを開き、[Provisioning(プロビジョニング)]タブをクリックします。
- [Confiure API Integration(API統合の構成)]をクリックします。
- [Enable API Integration(API統合を有効化)]を選択し、[Authenticate with Okta Advanced Server Access(Oktaアドバンストサーバーアクセスで認証する)]をクリックします。
- [Add a Team(チームを追加する)]フィールドにチーム名を入力し、矢印ボタン(
)をクリックします。[Grant Permissions(許可を付与する)]ウィンドウが表示されます。
- Oktaは、SCIMを使ってユーザーとグループを管理する許可をリクエストし、 サービスユーザーを作成します。[Username (ユーザー名)]フィールドにサービスユーザーの名前を入力し、[Approve (承認する)]をクリックします。
- Oktaにリダイレクトされたら[Save (保存する)]をクリックします。
- [Provisioning (プロビジョニング)]タブをクリックします。
- [To App (対象アプリ)]をクリックします。
- [Edit(編集)]をクリックします。
- [Create Users(ユーザーを作成)]、[Update User Attribute(ユーザー属性の更新)]または[Deactivate Users(ユーザーをディアクティベート)]を選択して有効にします。
- [Save(保存)]をクリックします。
Oktaユーザーがアドバンストサーバーアクセスに直接プロビジョニングされるようになり、Oktaでユーザーに加えた変更は、自動的にアドバンストサーバーアクセスに反映されるようになります。

Oktaでプロビジョニングを有効にする前にアドバンストサーバーアクセスに割り当てられたユーザーは、Oktaによる管理の対象外となります。このようなユーザーをOktaで管理するには、アドバンストサーバーアクセスのアプリケーションで割り当てを解除してから割り当てなおす必要があります。多くのユーザーの割り当てが管理しやすくなるように、グループ別にユーザーを追加することをお勧めします。
アドバンストサーバーアクセスのユーザー名
デフォルトでは、ユーザーのOktaユーザー名のローカル部分は、アドバンストサーバーアクセスではサーバーのユーザー名として使用されます。例えば、Oktaユーザー名first.last@example.comのローカル部分はfirst.lastです。
あるユーザーのOktaユーザー名でアルファベット、数字、ピリオド(.)、ダッシュ(-)または下線(_)以外の字が使用されている場合、上記の文字のみで構成されるユーザー名を作成し、Oktaでそのユーザーのアドバンストサーバーアクセスのユーザー名として割り当てる必要があります。
UnixおよびWindowsサーバーのユーザー名は、OktaではそれぞれunixUserName、windowsUserNameと定義されています。これらの値が定義されていない場合、アドバンストサーバーアクセスがユーザー名を作成します。サーバーのユーザー名の安全を確保するために、Oktaユーザー名で使われているピリオドは下線に置き換えられます。例えば、first.last@example.comから作成されるWindowsユーザー名は、first_lastとなります。UnixUserNameフィールドとwindowsUserNameフィールドには、ピリオドを使ったユーザー名を指定できます。この場合、アドバンストサーバーアクセスは定義された通りのユーザー名を使用します。ユーザー名は、Unixユーザー名で32文字、Windowsユーザー名で20文字で切り捨てられます。
サーバーのユーザー名は、Oktaのアドバンストサーバーアクセスインスタンスの[Provisioning(プロビジョニング)]タブでunixUserName とwindowsUserNameのマッピングを構成することでカスタマイズできます。「プロファイルと属性の操作」をご覧ください。