SCIMプロビジョニングをアプリ統合に追加する
System for Cross-domain Identity Management(SCIM)プロビジョニングが有効なアプリケーションでは、クラウドベースのアプリとサービスで、ユーザーID交換の管理と自動化を行えます。SCIMの動作の詳細については、「SCIMベースのプロビジョニング統合」を参照してください。
開始する前に
AIWで作成された統合でSCIMプロビジョニングを行えるようにするには、プロビジョニング機能を有効にする必要があります。SCIMプロビジョニングオプションがアプリ統合の設定ページに表示されない場合は、Oktaサポートに問い合わせて、この機能をorgで有効にできるかどうかをご確認ください。
SCIMプロビジョニングを有効にするには、最初に、SCIMプロビジョニングオプションに対応したSSO統合を作成する必要があります。そうした統合が利用可能になると、SCIMオプションを有効にして、お客様のSCIMアプリケーション固有の設定を構成できます。
プロファイルソーシングは、AIWを使用して作成された統合ではサポートされていません。SCIM統合でこの機能が必要な場合は、OINカタログにあるSCIMテストテンプレートのいずれかを使用して統合を作成し、それをプライベート統合としてOINマネージャーから送信します。Oktaのアナリストがお客様と連携しながら、orgに統合を追加します。
タスク1:SCIMに対応したSSO統合を作成する
アプリ統合ウィザードで、SAMLまたはSWAを使用するカスタムSSO統合を新規作成します。
OpenID Connect(OIDC)統合へのSCIMプロビジョニングの追加は現在サポートされていません。
タスク2:SCIMプロビジョニングを追加する
- 統合の作成後に、[General(一般)]タブをクリックします。
- [Edit(編集)]をクリックします。
- [Provisioning(プロビジョニング)]セクションで、[SCIM]を選択して[Save(保存)]をクリックします。
タスク3:プロビジョニングオプションを選択する
- 統合の設定ページで、[Provisioning(プロビジョニング)]タブを選択します。SCIMの接続設定が、[Settings(設定)]>[Integration(統合)]に表示されます。
- [Edit(編集)]をクリックします。
- [SCIM connector base URL(SCIMコネクターのベースURL)]に加え、SCIMサーバーのユーザーに使用する一意識別子のフィールド名を指定します。
- [Supported provisioning actions(サポートされているプロビジョニングアクション)]で、SCIMサーバーがサポートするプロビジョニングアクションを選択します。
- [Import New Users and Profile Updates(新規ユーザーとプロファイル更新をインポート)]:このオプションで、[Settings(設定)]>[To Okta(Oktaへ)]ページへの入力が行われます。Oktaに新規ユーザーとユーザープロファイル更新をどのようにインポートするかを詳細に指定できます。ユーザーのインポートについて詳しくは、「ユーザーのインポート」をご覧ください。
- [Push New Users(新規ユーザーをプッシュ)]:このオプションによって[Settings(設定)]>[To App(アプリへ)]ページの入力が行われます。これには、OktaからSCIMアプリに送信される全ユーザー情報の設定が含まれます。
- [Push Profile Updates(プロファイル更新をプッシュ)]:このオプションで、[Settings(設定)]>[To App(アプリへ)]ページへの入力が行われます。これには、OktaからSCIMアプリに送信される全プロファイル情報の設定が含まれます。「プロファイルのプッシュについて」を参照してください。
- [Push Groups(グループをプッシュ)]:このオプションで、[Settings(設定)]>[To App(アプリへ)]ページへの入力が行われます。これには、OktaからSCIMアプリに送信される全グループ情報の設定が含まれます。「グループプッシュについて」を参照してください。
- [Authentication Mode(認証モード)]ドロップダウンボックスを使用して、OktaがSCIMアプリへの接続に使用するモードを選択します。
- [Basic Auth(基本認証)]:基本認証モードを使用して認証するには、SCIMサーバーで、作成、更新、デプロビジョニングのアクションを行うアカウントのユーザー名とパスワードを入力する必要があります。
- [HTTP Header(HTTPヘッダー)]:HTTPヘッダーを使用して認証するには、SCIMアプリを認可するためのベアラートークンを提供する必要があります。トークンの生成方法については、「APIトークンを作成する」を参照してください。
- [OAuth2]:OAuth 2.0を使用して認証するには、SCIMサーバーのアクセストークンと認証エンドポイントに加え、クライアントIDとクライアントシークレットを提供する必要があります。
次の手順
- 統合が想定どおりに動作しない場合は、Oktaサポートにお問い合わせください。
- アプリケーションのユーザーへの割り当て
- グループにアプリの統合を割り当てる
- アプリ統合をOINに提出する