Okta用にSCIMを構成する

Okta Integration Network(OIN)の一部であるアドバンストサーバーアクセスは、Okta Universal Directoryからのユーザーグループを同期できます。これにより、アドバンストサーバーアクセスのユーザー、メンバーシップ、ロールの管理が容易になります。そのために、OktaSCIM(System for Cross-domain Identity Management)仕様を使用します。SCIM統合では、以下の機能がサポートされます。

  • ユーザーの作成:Oktaアドバンストサーバーアクセスに割り当てられているユーザーは、アドバンストサーバーアクセスで自動的に作成されます。
  • ユーザー属性の更新:Oktaでのユーザー属性の変更は、アドバンストサーバーアクセスの対応ユーザーに適用されます。
  • ユーザーの非アクティブ化:Oktaアドバンストサーバーアクセスの割り当てが解除されたユーザーは、アドバンストサーバーアクセスまたはそれが保護するリソースにアクセスできなくなります。

Oktaから同期を有効にするには、以下の手順に従います。

  1. Okta 管理者ダッシュボードでOkta Advanced Server Accessアプリケーションを開き、[Provisioning(プロビジョニング)]タブをクリックします。
  2. Confiure API Integration(API統合の構成)]をクリックします。
  3. Enable API Integration(API統合を有効化)]を選択し、[Authenticate with Okta Advanced Server Access(Oktaアドバンストサーバーアクセスで認証する)]をクリックします。
  4. Add a Team(チームを追加する)]フィールドにチーム名を入力し、矢印ボタン(矢印ボタン)をクリックします。[Grant Permissions(許可を付与する)]ウィンドウが表示されます。
  5. Oktaは、SCIMを使ってユーザーとグループを管理する許可をリクエストし、 サービスユーザーを作成します。[Username (ユーザー名)]フィールドにサービスユーザーの名前を入力し、[Approve (承認する)]をクリックします。
  6. Oktaにリダイレクトされたら[Save (保存する)]をクリックします。
  7. [Provisioning (プロビジョニング)]タブをクリックします。
  8. [To App (対象アプリ)]をクリックします。
  9. [Edit(編集)]をクリックします。
  10. Create Users(ユーザーを作成)]、[Update User Attribute(ユーザー属性の更新)]または[Deactivate Users(ユーザーをディアクティベート)]を選択して有効にします。
  11. Save(保存)]をクリックします。

Oktaユーザーがアドバンストサーバーアクセスに直接プロビジョニングされるようになり、Oktaでユーザーに加えた変更は、自動的にアドバンストサーバーアクセスに反映されるようになります。

注

Oktaでプロビジョニングを有効にする前にアドバンストサーバーアクセスに割り当てられたユーザーは、Oktaによる管理の対象外となります。このようなユーザーをOktaで管理するには、アドバンストサーバーアクセスのアプリケーションで割り当てを解除してから割り当てなおす必要があります。多くのユーザーの割り当てが管理しやすくなるように、グループ別にユーザーを追加することをお勧めします。

アドバンストサーバーアクセスのユーザー名

デフォルトでは、ユーザーのOktaユーザー名のローカル部分は、アドバンストサーバーアクセスではサーバーのユーザー名として使用されます。例えば、Oktaユーザー名first.last@example.comのローカル部分はfirst.lastです。

あるユーザーのOktaユーザー名でアルファベット、数字、ピリオド(.)、ダッシュ(-)または下線(_)以外の字が使用されている場合、上記の文字のみで構成されるユーザー名を作成し、Oktaでそのユーザーのアドバンストサーバーアクセスのユーザー名として割り当てる必要があります。

UnixおよびWindowsサーバーのユーザー名は、OktaではそれぞれunixUserNamewindowsUserNameと定義されています。これらの値が定義されていない場合、アドバンストサーバーアクセスがユーザー名を作成します。サーバーのユーザー名の安全を確保するために、Oktaユーザー名で使われているピリオドは下線に置き換えられます。例えば、first.last@example.comから作成されるWindowsユーザー名は、first_lastとなります。UnixUserNameフィールドとwindowsUserNameフィールドには、ピリオドを使ったユーザー名を指定できます。この場合、アドバンストサーバーアクセスは定義された通りのユーザー名を使用します。ユーザー名は、Unixユーザー名で32文字、Windowsユーザー名で20文字で切り捨てられます。

サーバーのユーザー名は、Oktaアドバンストサーバーアクセスインスタンスの[Provisioning(プロビジョニング)]タブでunixUserNamewindowsUserNameのマッピングを構成することでカスタマイズできます。「プロファイルと属性の操作」をご覧ください。

次のステップ