Okta用にSCIMを構成する

Okta Integration NetworkOIN)の一部であるAdvanced Server Accessは、Okta Universal Directoryからのユーザーグループを同期できます。これにより、Advanced Server Accessのユーザー、メンバーシップ、ロールの管理が容易になります。そのために、OktaSCIM(System for Cross-domain Identity Management)仕様を使用します。SCIM統合では、次の機能がサポートされます。

  • ユーザーの作成:OktaAdvanced Server Accessに割り当てられているユーザーは、Advanced Server Accessで自動的に作成されます。
  • ユーザー属性の更新:Oktaでユーザー属性に加えた変更は、対応するAdvanced Server Accessユーザーにも適用されます。
  • ユーザーの非アクティブ化:OktaAdvanced Server Accessの割り当てが解除されたユーザーは、Advanced Server Accessまたはそれが保護するリソースにアクセスできなくなります。

Oktaからの同期を有効にするには、次の手順に従います。

  1. Okta Admin ConsoleAdvanced Server Accessアプリを開き、[Provisioning(プロビジョニング)]タブをクリックします。
  2. [Confiure API Integration(API統合の構成)]をクリックします。
  3. [Enable API Integration(API統合を有効化)]を選択し、[Authenticate with Okta Advanced Server Access(Okta Advanced Server Accessで認証する)]をクリックします。
  4. Add a Team(チームを追加する)]フィールドにチーム名を入力し、矢印ボタン(矢印ボタン)をクリックします。[Grant Permissions(権限を付与)]ウィンドウが表示されます。
  5. Oktaが、SCIMを使ってユーザーとグループを管理する権限とサービスユーザーを作成する権限をリクエストします。[Username (ユーザー名)]フィールドにサービスユーザーの名前を入力し、[Approve (承認する)]をクリックします。
  6. Oktaにリダイレクトされたら、[Save(保存)]をクリックします。
  7. [Provisioning(プロビジョニング)]タブをクリックします。
  8. [To App(アプリへ)]をクリックします。
  9. [Edit(編集)]をクリックします。
  10. [Create Users(ユーザーを作成)][Update User Attributes(ユーザー属性を更新)]または[Deactivate Users(ユーザーの非アクティブ化)]を選択して有効にします。
  11. [Save(保存)]をクリックします。

OktaユーザーがAdvanced Server Accessに直接プロビジョニングされるようになり、Oktaでユーザーに加えた変更は、自動的にAdvanced Server Accessに反映されるようになります。

注

Oktaでプロビジョニングを有効にする前にAdvanced Server Accessに割り当てられたユーザーは、Oktaによる管理の対象外となります。これらのユーザーをOktaに管理させるには、割り当て解除してからAdvanced Server Accessアプリに再割り当てします。多数のユーザーの割り当てを容易に管理できるように、ユーザーをグループ単位で追加することをお勧めします。

Advanced Server Accessのユーザー名

デフォルトでは、ユーザーのOktaユーザー名のローカル部分が、Advanced Server Accessのサーバーユーザー名としても使用されます。たとえば、Oktaユーザー名first.last@example.comのローカル部分はfirst.lastです。

あるユーザーのOktaユーザー名でアルファベット、数値、ピリオド(.)、ダッシュ(-)または下線(_)以外の字が使用されている場合、上記の文字のみで構成されるユーザー名を作成し、OktaでそのユーザーのAdvanced Server Accessユーザー名として割り当てる必要があります。

UnixおよびWindowsのサーバーユーザー名は、OktaではそれぞれunixUserNamewindowsUserNameと定義されます。これらのユーザーの値が定義されていない場合、Advanced Server Accessがユーザー名を作成します。サーバーユーザー名の安全を確保するために、Oktaユーザー名で使われているピリオドは下線に置き換えられます。たとえば、first.last@example.comから作成されるWindowsユーザー名は、first_lastとなります。unixUserNameフィールドとwindowsUserNameフィールドには、ピリオドを使ったユーザー名を指定できます。この場合、Advanced Server Accessは定義された通りのユーザー名を使用します。ユーザー名は、Unixユーザー名で32文字、Windowsユーザー名で20文字で切り捨てられます。

サーバーのユーザー名は、OktaAdvanced Server Accessインスタンスの[Provisioning(プロビジョニング)]タブでunixUserNamewindowsUserNameのマッピングを構成することでカスタマイズできます。「プロファイルと属性の操作」をご覧ください。

次のステップ

グループ同期を構成する

Advanced Server Accessのサーバーエージェント