プロビジョニングについて

プロビジョニングでは、SCIMプロトコルを使用して、ユーザーストアとユーザーが日々使用する外部アプリケーションの間でユーザーアカウント情報を同期させます。

プロビジョニングは、新しいユーザーやチームを設定する際の時間を節約し、ユーザーのライフサイクルを通じてアクセス権を管理するのに役立ちます。Oktaでは、新規または既存のユーザーのユーザーアカウントを作成、読み取り、更新し、非アクティブ化されたユーザーのアカウントを削除し、複数のユーザーストア間で属性を同期させることができます。

プロビジョニングとデプロビジョニングのアクションは双方向なので、外部アプリケーション内でアカウントを作成してOktaにインポートしたり、Oktaでアカウントを作成してから統合された外部アプリケーションにプッシュしたりすることもできます。

プロビジョニングがサポートされていれば、外部のクラウドやオンプレミスのアプリケーションをOktaの上流でも下流でもプロビジョニングすることが可能です。 上流のアプリケーションとは、ユーザーデータをOktaに送信するアプリケーションです。下流のアプリケーションとは、Oktaからユーザーデータを受信するアプリケーションです。

Okta Integration Network (OIN)には、外部のクラウドベースのアプリケーションやオンプレミスのアプリケーションとのプロビジョニングを管理するための、事前に構築されたアプリ統合が何百もあります。

メリット

Oktaを使用してユーザーアカウント情報をプロビジョニングすることで、Okta Universal Directoryの堅牢性と柔軟性、Oktaの連携認証方法のセキュリティを兼ね備えることができます。

  • アカウント管理 – Oktaを使用して、ユーザー名、プロファイル、および権限を作成して割り当て、ユーザーのアカウントを1つの企業ユーザーIDとパスワードにバインドします。
  • ユーザーのインポート – Active Directory(AD)、Lightweight Directory Access Protocol(LDAP)、または特定の人事アプリからユーザーをインポートできます。一括でユーザーをインポートすることもできますし、Oktaが定期的に信頼できる情報源からユーザープロファイルデータを引き出すように設定することもできます。
  • ルールとワークフローの設定 – 特定のパスワードルールを要求したり、外部アプリケーションからグループを同期してインポートしたり、Okta、AD、LDAPのユーザーを自動的にデプロビジョニングしたりすることができます。
  • レポート – レポートと監査証跡を生成し、効率性を確保するために変更が必要な場所を特定します。

シナリオ

Oktaでは、クラウドベースの環境でプロビジョニングを処理するための方法をいくつか提供しています。

  • AD統合 - Oktaは軽量でオンプレミスのActive Directory統合を提供し、お使いのAD構成と同期させます。リアルタイムの同期とジャストインタイム プロビジョニングを設定することで、常に最新のユーザープロファイルを入手でき、スケジュール設定されたインポートを待つ必要はありません。
  • LDAP統合 - Oktaは、軽量エージェントを使用して、人気がある複数のLDAPベンダーとの統合を提供します。LDAP 統合統合は、ADエージェントと同様に、リアルタイムの同期とJITプロビジョニングを提供します。
  • 人事主導型IT - Oktaは、外部の人事アプリケーション(例:Workday、 SuccessFactorsUltiProBambooHRNamely)からの自動プロビジョニングを提供します。このような種類のプロビジョニングは、人事システムをユーザーの信頼できる情報源として利用したい企業にとって有益です。Active Directoryはダウンストリームのプロビジョニングターゲットになります。この機能により、継続的にプロファイルが同期され、効率的なオンボーディングが可能になります。

デプロビジョニング

デプロビジョニング機能は、組織を離れた人が機密性の高いアプリケーションやコンテンツへにアクセスできないようにすることで、組織のセキュリティプロファイルを向上させます。ユーザーをデプロビジョニングすると、そのユーザーがプロビジョニングされていたアプリ統合から自動的に削除されます。セキュリティの面だけでなく、デプロビジョニングはコンプライアンス上の理由からも重要であり、外部アプリケーションの正確な使用数を維持するのに役立ちます。

ユーザーのデプロビジョニングは、Okta内から直接行うことも、ADから行うこともできます。

機能をサポートしているアプリ統合の場合、ユーザーアカウントがデプロビジョニングされると、ユーザーのアクセスは自動的に削除されます。ユーザーを手動でデプロビジョニングする必要があるアプリ統合の場合、Okta管理者は手動でのユーザーのデプロビジョニングが必要なユーザーの通知を受け取ります。

組織は通常、デプロビジョニングされたユーザーアカウントを一定期間利用できるようにするポリシーを持っています。これは、後からアカウントを復元する必要がある場合や、デプロビジョニングされたアカウントから情報を取得する必要がある場合に便利です。

注

Oktaでユーザーから割り当てを削除(デプロビジョニング)しても、Oktaはそのユーザーのアカウントを削除しません。外部アプリケーションでアカウントが非アクティブ化された状態になり、ユーザーのアプリ統合へのアクセスがOktaから削除されます。外部アプリケーションによっては、外部アプリケーションでのユーザーアカウントの削除に対応している場合があります。

権限

スーパー管理者とアプリ管理者は、アプリ統合にユーザーを割り当てることができます。スーパー管理者は、すべての権限を与えることができる役割です。

Oktaグループが利用されている場合、グループ管理者はユーザーまたはユーザーのグループをアプリ統合へとプロビジョニングすることができます。

注

アプリの統合を構成するOkta管理者は、外部アプリケーションとOktaを接続するAPIプロビジョニングを認可するためのアプリ管理者権限が必要です。