Okta用にSCIMを構成する
販売終了のお知らせ
2026年5月1日をもってOktaはAdvanced Server Accessの販売・更新を終了します。既存のお客様はサービスを維持するために、次回の更新予定日から1年以内にOkta Privileged Accessに移行していただく必要があります。
よくある質問を確認して、 Okta Privileged Accessの詳細をご覧ください。
Okta Integration Network(OIN)の一部であるAdvanced Server Accessは、Okta Universal Directoryからユーザーとグループを同期できます。これにより、Advanced Server Accessのユーザー、メンバーシップ、ロールの管理が容易になります。そのために、OktaはSCIM(System for Cross-domain Identity Management)仕様を使用します。SCIM統合では、次の機能がサポートされます。
- ユーザーの作成:OktaでAdvanced Server Accessに割り当てられているユーザーは、Advanced Server Accessで自動的に作成されます。
- ユーザー属性の更新:Oktaでユーザー属性に加えた変更は、対応するAdvanced Server Accessユーザーにも適用されます。
- ユーザーの非アクティブ化:OktaでAdvanced Server Accessの割り当てが解除されたユーザーは、Advanced Server Accessまたはそれが保護するリソースにアクセスできなくなります。
Oktaからの同期を有効にするには、次の手順に従います。
- Okta Admin ConsoleでAdvanced Server Accessアプリを開き、プロビジョニング(Provisioning)タブをクリックします。
- API統合の構成(Confiure API Integration)(Configure API Integration)をクリックします。
- API統合を有効化(Enable API Integration)を選択し、Okta Advanced Server Accessで認証する(Authenticate with Okta Advanced Server Access)をクリックします。
- チームを追加する(Add a Team)フィールドにチーム名を入力し、矢印ボタン(
)をクリックします。権限を付与(Grant Permissions)ウィンドウが表示されます。 - Oktaが、SCIMを使ってユーザーとグループを管理する権限とサービスユーザーを作成する権限をリクエストします。[Username (ユーザー名)]フィールドにサービスユーザーの名前を入力し、[Approve (承認する)]をクリックします。
- Oktaにリダイレクトされたら、保存(Save)をクリックします。
- プロビジョニング(Provisioning)タブをクリックします。
- アプリへ(To App)をクリックします。
- 編集(Edit)をクリックします。
- ユーザーを作成(Create Users)、ユーザー属性を更新(Update User Attributes)またはユーザーの非アクティブ化(Deactivate Users)を選択して有効にします。
- 保存(Save)をクリックします。
OktaユーザーがAdvanced Server Accessに直接プロビジョニングされるようになり、Oktaでユーザーに加えた変更は、自動的にAdvanced Server Accessに反映されるようになります。
Oktaでプロビジョニングを有効にする前にAdvanced Server Accessに割り当てられたユーザーは、Oktaによる管理の対象外となります。これらのユーザーをOktaに管理させるには、割り当て解除してからAdvanced Server Accessアプリに再割り当てします。多数のユーザーの割り当てを容易に管理できるように、ユーザーをグループ単位で追加することをお勧めします。
Advanced Server Accessのユーザー名
デフォルトでは、ユーザーのOktaユーザー名のローカル部分が、Advanced Server Accessのサーバーユーザー名としても使用されます。たとえば、Oktaユーザー名first.last@example.comのローカル部分はfirst.lastです。
あるユーザーのOktaユーザー名でアルファベット、数値、ピリオド(.)、ダッシュ(-)または下線(_)以外の字が使用されている場合、上記の文字のみで構成されるユーザー名を作成し、OktaでそのユーザーのAdvanced Server Accessユーザー名として割り当てる必要があります。
UnixおよびWindowsのサーバーユーザー名は、OktaではそれぞれunixUserName、windowsUserNameと定義されます。これらのユーザーの値が定義されていない場合、Advanced Server Accessがユーザー名を作成します。サーバーユーザー名の安全を確保するために、Oktaユーザー名で使われているピリオドは下線に置き換えられます。たとえば、first.last@example.comから作成されるWindowsユーザー名は、first_lastとなります。unixUserNameフィールドとwindowsUserNameフィールドには、ピリオドを使ったユーザー名を指定できます。この場合、Advanced Server Accessは定義された通りのユーザー名を使用します。ユーザー名は、Unixユーザー名で32文字、Windowsユーザー名で20文字で切り捨てられます。
サーバーのユーザー名は、OktaのAdvanced Server Accessインスタンスの[プロビジョニング]タブでunixUserNameとwindowsUserNameのマッピングを構成することでカスタマイズできます。プロファイルと属性の操作をご覧ください。
次のステップ