アプリの統合のためのプロビジョニング構成
アプリの統合を設定し、Oktaと外部アプリケーションの間のユーザーのライフサイクルを管理します。このタスクは、新規または既存のアプリ統合にプロビジョニングを追加するときに必要です。
- プロビジョニング機能を持つアプリの統合をインストールします。新しいプロビジョニング・アプリ統合を展開するための一般的なワークフローまたはプロビジョニングを既存のアプリ統合に追加するための一般的なワークフローを参照してください。
- 管理コンソールで、[アプリケーション] > に移動します。 [Applications(アプリケーション)]に進みます。
- [Search(検索)]フィールドにアプリ統合名を入力します。
- 設定するアプリの統合の名前をクリックしてから、[Provisioning(プロビジョニング)]タブをクリックします。
『構成ガイド』は、[Provisioning (プロビジョニング)]設定タブからアクセスできます。このガイドでは、外部アプリケーションとOktaの間でプロビジョニングを設定するために必要な正確な設定の詳細を説明しています。
- [Confiure API Integration (API統合の構成)]をクリックします。
- [Enable API integration (API統合を有効化)]を選択します。
- 認証フィールドに入力します。以下のようなものがあります。
- [Username (ユーザー名)] - アプリケーション管理者のユーザー名を入力します。
- [Password (パスワード)] - 提供されたユーザーアカウントのパスワードを入力します。
- [Token (トークン)] - 外部アプリケーションへのアクセスに使用するセキュリティトークンを入力します。
- [Push Null Values (Null値をプッシュ)] - このオプションを選択すると、OktaにNull値を渡すことができます。
- [Import Groups (インポートグループ)] - デフォルトで選択されています。Oktaからアプリケーショングループを削除するには、チェックボックスをオフにして、[Disable Import Groups (インポートグループの無効化)]ダイアログボックスで[Continue (続行)] をクリックします。
- [Test API Credentials (API認証情報をテスト)]をクリックして、API認証をテストします。エラーが発生した場合は、認証情報を確認してやり直してください。
-
[保存]をクリックします。
- 画面左側の[Settings (設定)]列から、[To App (アプリへ)]、[To Okta (Oktaへ)]、[API Integration (API統合)]の3つのプロビジョニング設定から選択します。
[To App (アプリへ)]この画面で、Oktaから外部アプリケーションへのフローとなるすべての情報の設定を行います。以下のリストのすべての機能が、すべてのアプリの統合で利用できるわけではありません。
横にある[編集]ボタンをクリックして、次のセクションを変更します。
- [ユーザーを作成]:Oktaが管理する各ユーザーに新しい外部アプリケーション・アカウントを割り当てます。Oktaで指定されたユーザー名がすでに外部アプリケーションに存在することを検出した場合、Oktaは新しいアカウントを作成しません。デフォルトでは、ユーザーのOktaユーザー名が割り当てられます。
- [ユーザー属性を更新]:そのアプリ統合に割り当てられたユーザーのプロファイルを更新し、それらの変更をダウンストリーム・アプリに同期します。外部アプリケーションで行われたプロファイル変更は、それぞれのOktaプロファイル値で上書きされます。
- [ユーザーの非アクティブ化]:ユーザーがOktaで割り当て解除された場合、またはOktaのアカウントが非アクティブ化されている場合に、ユーザーのアカウントを自動的に非アクティブ化します。また、アプリ統合がOktaのユーザーに再割り当てされた場合、Oktaは外部アプリケーション・アカウントを再アクティブ化します。
- [ユーザー名の更新を除外]:プロファイル・プッシュ機能を使用するときに、ダウンストリーム・アプリケーション・プロファイルがOktaユーザー・プロファイルを上書きするのを防ぎます。
- [パスワードを同期]:ユーザーの外部アプリケーション・パスワードが常にOktaパスワードと同じになるようにするか、Oktaがユーザーに一意のパスワードを生成できるようにします。パスワードをOktaからActive Directoryに同期するを参照してください。
- [プロファイル属性マッピング]:ページのこの部分を使用して、Oktaアプリ統合とユーザー・プロファイルの属性とマッピングを編集します。プロファイルを管理するを参照してください。
ユーザー・プロファイルに加えて、Oktaは、新しいユーザーを作成するための要求でランダム・パスワードを送信します。
[To Okta (Oktaへ)]この画面では、外部アプリケーションからOktaへのフローとなるすべての情報の設定を行います。
横にある[編集]ボタンをクリックして、次のセクションを変更します。
- [一般]:このセクションを使用して、インポートをスケジュールし、インポートされたユーザーに使用するOktaのユーザー名のフォーマットを指定します。インポート・セーフガード 機能が自動的にトリガーされる前に、受け入れ可能なアプリ統合割り当てのパーセンテージを 定義することもできます。プロビジョニング対応アプリ統合からのマッピングが原因でOktaユーザー名が上書きされる場合、カスタム・マッピングがこのセクションに表示されます。インポート・セーフガードについてを参照してください。
- [ユーザーの作成および照合]:一致ルールは、インポートを許可するすべての外部アプリケーションとディレクトリーからユーザーをインポートするときに使用されます。一致基準を作成することで、インポートしたユーザーを新規ユーザーとして定義する方法や、既存のOktaユーザーにマッピングする方法を指定できます。
- [インポートされたユーザーは、次の場合にOktaユーザーに完全一致します:]: インポートしたユーザーが既存のOktaユーザーと完全に一致するかどうかを定める一致基準を選択します。 オプションのリストから任意の組み合わせを選択して、基準を作成します。新しくインポートされたユーザーが完全一致と見なされるには、選択する各オプションがtrueである必要があります。3番目のオプションを選択した場合、1番目と2番目の選択肢は無効になります。
- [部分一致を許容]:インポートされたユーザーの姓名が既存のOktaユーザーの姓名と一致するが、 ユーザー名またはメール・アドレスが一致しない場合、部分一致が発生します。
- [一致したユーザーを確認]:既存のユーザーの確認またはアクティブ化を自動化する場合に選択します。このオプションが選択されていない場合、一致は手動で確認されます。
- [新しいユーザーを確認]:選択すると、新しくインポートされたユーザーの確認またはアクティブ化が自動化されます。このオプションを選択した場合、インポートの確認時にオフにすることができます。この機能はOktaにすでに存在するユーザーには適用されないことに注意してください。
- [プロファイルとライフサイクルのソーシング]:このセクションを使用して、現在の外部アプリケーションがOktaユーザーのプロファイル・ソースとして機能できるようにします。有効にすると、外部アプリケーションがプロファイル・ソース・ページのプロファイル・ソースのリストに表示されます。 を参照してください。
- [<アプリ>がOktaユーザーをソースにすることを許可]:ソーシングを有効にし、アプリ統合でユーザーが非アクティブ化または再アクティブ化されたときに発生するアクションを決定します。Oktaユーザーを非アクティブ化または一時停止できるのは、Oktaユーザーの中でも最も優先度の高いプロファイル・ソースのみです。最も優先度の高いプロファイル・ソースを確認するには、プロファイル・ソース・ページを確認します。 を参照してください。
- [ユーザーがアプリで非アクティブ化されている場合]:外部アプリケーションでのアクティビティーがユーザーのライフサイクルを制御しないようにするには、[何もしない]を選択します。このオプションにより、属性とマッピングのプロファイル・ソース制御が引き続き可能になります。 ほかの選択肢は、ユーザーの非アクティブ化または一時停止です。
- [ユーザーがアプリで再アクティブ化されている場合]:外部アプリケーションで再アクティブ化されたときに、一時停止または非アクティブ化されたOktaユーザーを再アクティブ化する必要があるかどうかを決定します。
注
外部アプリケーションでユーザーを再アクティブ化する場合、Oktaでも再アクティブ化するにはユーザー・プロファイルがOktaプロファイルと完全に一致している必要があります。プロファイルが完全一致していない場合、再アクティブ化されたユーザーをインポートした後、ユーザーは[アクティベーション保留中]状態になります。
- [インポート・セーフガード]:インポート・セーフガード設定は、インポートの続行を許可されている間、割り当てを解除できる組織内のユーザーの最大パーセンテージを定義します。アプリケーション・レベルと組織レベルのセーフガードはデフォルトで有効になっており、20%に設定されています。インポート・セーフガードについてを参照してください。
- [インライン・フック]:このセクションを使用して、外部アプリケーションからOktaに新規ユーザーをインポートするプロセスにカスタム・ロジックを追加します。プロファイル属性の競合を解決し、インポートされたユーザーを既存のユーザーの一致として扱うかどうかを制御できます。インポートのインライン・フックを有効にするには、インライン・フックを参照してください。
- [Okta属性マッピング]:ページのこの部分を使用して、Oktaアプリ統合とユーザー・プロファイルの属性とマッピングを編集します。プロファイルを管理するを参照してください。
[API Integration (API統合)]外部アプリケーションの中には、そのAPIに対して認証を行うためにトークンを必要とするものがあります。[Authenticate with App Name (アプリ名で認証)]ボタンをクリックすると、トークンが生成されます。外部アプリケーションにリダイレクトされるので、そこで認証を行ってトークンを取得する必要があります。
注
The API endpoints of some external applications can trigger an import of that application's groups into Okta when the API is configured. これは予想される動作です。
- [Edit(編集)]をクリックします。
- プロビジョニングオプションを選択し、[Save (保存)]をクリックします。
- 任意。下にスクロールして[Attributes Mappings(属性マッピング)]エリアで[Go to Profile Editor(プロファイル エディターに進む)]をクリックします。
- Click Mappings and click the Okta User to <application name> tab.
- 属性を編集して[Save Mappings(マッピングの保存)]をクリックします。
- [Apply updates now (今すぐ更新を適用)]をクリックします。