アプリの統合のためのプロビジョニング構成
アプリの統合を設定し、Oktaと外部アプリケーションの間のユーザーのライフサイクルを管理します。このタスクは、新規または既存のアプリ統合にプロビジョニングを追加するときに必要です。
- プロビジョニング機能を持つアプリの統合をインストールします。「新しいプロビジョニングアプリ統合を展開するための一般的なワークフロー」または「プロビジョニングを既存のアプリ統合に追加するための一般的なワークフロー」を参照してください。
- Okta Admin Consoleで、[Applications(アプリケーション)]>[Applications(アプリケーション)]に移動します。
- [Search(検索)]フィールドにアプリ統合名を入力します。
- 設定するアプリの統合の名前を選択し、[Provisioning(プロビジョニング)]タブをクリックします。
『構成ガイド』は、[Provisioning(プロビジョニング)]設定タブからアクセスできます。このガイドでは、外部アプリケーションとOktaの間でプロビジョニングを設定するために必要な正確な設定の詳細を説明しています。
- [Confiure API Integration(API統合の構成)]をクリックします。
- [Enable API integration(API統合を有効化)]を選択します。
- 認証フィールドに入力します。以下のフィールドがあります。
[Username(ユーザー名)]:アプリケーション管理者のユーザー名を入力します。
[Password(パスワード)]:提供されたユーザーアカウントのパスワードを入力します。
[Token(トークン)]:外部アプリケーションへのアクセスに使用するセキュリティトークンを入力します。
[Push Null Values(Null値をプッシュ)]:このオプションを選択すると、OktaにNull値を渡すことができます。
[Import Groups(インポートグループ)]:デフォルトで選択されています。Oktaからアプリケーショングループを削除するには、チェックボックスをオフにした後、[Disable Import Groups(インポートグループの無効化)]ダイアログボックスで[Continue(続行)]をクリックします。
- [Test API Credentials(API認証情報をテスト)]をクリックしてAPI認証をテストします。エラーが発生した場合は、認証情報を確認してやり直してください。
-
[Save(保存)]をクリックします。
- 画面左側の[Settings(設定)]列で、[To App(アプリへ)]、[To Okta(Oktaへ)]、[API Integration(API統合)]の3つのプロビジョニング設定から選択します。
アプリへこの画面で、Oktaから外部アプリケーションへのフローとなるすべての情報の設定を行います。以下のリストのすべての機能が、すべてのアプリの統合で利用できるわけではありません。
横にある[Edit(編集)]ボタンをクリックして、次のセクションを変更します。
- [Create Users(ユーザーの作成)]:Oktaが管理する各ユーザーに新しい外部アプリケーションアカウントを割り当てます。Oktaで指定されたユーザー名がすでに外部アプリケーションに存在することを検出した場合、Oktaは新しいアカウントを作成しません。デフォルトでは、ユーザーのOktaユーザー名が割り当てられます。
- [Update User Attributes(ユーザー属性を更新)]:そのアプリ統合に割り当てられたユーザーのプロファイルを更新し、それらの変更をダウンストリームアプリに同期します。外部アプリケーションで行われたプロファイル変更は、それぞれのOktaプロファイル値で上書きされます。
- [Deactivate Users(ユーザーの非アクティブ化)]:ユーザーがOktaで割り当て解除された場合、またはOktaのアカウントが非アクティブ化されている場合に、ユーザーのアカウントを自動的に非アクティブ化します。また、アプリ統合がOktaのユーザーに再割り当てされた場合、Oktaは外部アプリケーションアカウントを再アクティブ化します。
- [Exclude Username Updates(ユーザー名の更新を除外)]:プロファイルプッシュ機能を使用するときに、ダウンストリームアプリケーションプロファイルがOktaユーザープロファイルを上書きするのを防ぎます。
- [Sync Password(パスワードを同期)]:ユーザーの外部アプリケーションパスワードが常にOktaパスワードと同じになるようにするか、Oktaがユーザーに一意のパスワードを生成できるようにします。詳しくは、「OktaのパスワードをActive Directoryに同期する」を参照してください。
- [Profile Attribute Mappings(プロファイル属性マッピング)]:ページのこの部分を使用して、Oktaアプリ統合とユーザープロファイルの属性とマッピングを編集します。「プロファイルを管理する」を参照してください。
ユーザープロファイルに加えて、Oktaは、新しいユーザーを作成するための要求でランダムパスワードを送信します。
Oktaへこの画面では、外部アプリケーションからOktaへのフローとなるすべての情報の設定を行います。
横にある[Edit(編集)]ボタンをクリックして、次のセクションを変更します。
- [General(一般)]:このセクションを使用して、インポートをスケジュールし、インポートされたユーザーに使用するOktaのユーザー名のフォーマットを指定します。インポートセーフガード機能が自動的にトリガーされる前に、受け入れ可能なアプリ統合割り当てのパーセンテージを定義することもできます。プロビジョニング対応アプリ統合からのマッピングが原因でOktaユーザー名が上書きされる場合、カスタムマッピングがこのセクションに表示されます。「インポートセーフガード」を参照してください。
- [User Creation & Matching(ユーザーの作成および照合)]:一致ルールは、インポートを許可するすべての外部アプリケーションとディレクトリからユーザーをインポートするときに使用されます。一致基準を確立することで、インポートしたユーザーを新規ユーザーとして定義する方法や、既存のOktaユーザーにマッピングする方法を指定できます。
- [Imported user is an exact match to Okta user if(インポートされたユーザーは、次の場合にOktaユーザーに完全一致します)]:インポートしたユーザーが既存のOktaユーザーと完全に一致するかどうかを定める一致基準。オプションのリストから任意の組み合わせを選択して、基準を作成します。新しくインポートされたユーザーが完全一致と見なされるには、選択する各オプションがtrueである必要があります。3番目のオプションを選択した場合、1番目と2番目の選択肢は無効になります。
- [Allow partial matches(部分一致を許容)]:インポートされたユーザーの姓または名が既存のOktaユーザーと一致するが、ユーザーのユーザー名またはメールアドレスは一致しない場合、部分一致となります。
- [Confirm matched users(一致したユーザーを確認)]:既存のユーザーの確認またはアクティブ化を自動化する場合に選択します。このオプションが選択されていない場合、一致は手動で確認されます。
- [Confirm new users(新しいユーザーを確認)]:選択すると、新しくインポートされたユーザーの確認またはアクティブ化が自動化されます。このオプションを選択した場合、インポートの確認時にオフにすることができます。この機能はOktaにすでに存在するユーザーには適用されないことに注意してください。
- [Profile & Lifecycle Sourcing(プロファイルとライフサイクルのソーシング)]:このセクションを使用して、現在の外部アプリケーションがOktaユーザーのプロファイルソースとして機能できるようにします。有効にすると、外部アプリケーションがプロファイルソースページのプロファイルソースのリストに表示されます。「プロファイルソーシングについて」を参照してください。
- [Allow <app> to source Okta users(<アプリ>がOktaユーザーをソースにすることを許可)]:ソーシングを有効にし、アプリ統合でユーザーが非アクティブ化または再アクティブ化されたときに発生するアクションを決定します。Oktaユーザーを非アクティブ化または一時停止できるのは、Oktaユーザーの中でも最も優先度の高いプロファイルソースのみです。最も優先度の高いプロファイルソースを確認するには、プロファイルソースページを確認します。「プロファイルソーシングについて」を参照してください。
- [When a user is deactivated in the app(ユーザーがアプリで非アクティブ化されている場合)]:外部アプリケーションでのアクティビティがユーザーのライフサイクルを制御しないようにするには、[Do Nothing(何もしない)を選択します。このオプションにより、属性とマッピングのプロファイルソース制御が引き続き可能になります。ほかの選択肢は、ユーザーの非アクティブ化または一時停止です。
- [When a user is reactivated in the app(ユーザーがアプリで再アクティブ化されている場合)]:外部アプリケーションで再アクティブ化されたときに、一時停止または非アクティブ化されたOktaユーザーを再アクティブ化する必要があるかどうかを決定します。
注
外部アプリケーションでユーザーを再アクティブ化する場合、Oktaでも再アクティブ化するにはユーザープロファイルがOktaプロファイルと完全に一致している必要があります。プロファイルが完全一致していない場合、再アクティブ化されたユーザーをインポートした後、ユーザーは[Pending Activation(アクティベーション保留中)]状態になります。
- [Import Safeguards(インポートセーフガード)]:インポートセーフガード設定は、インポートの続行を許可されている間、割り当てを解除できるorg内のユーザーの最大パーセンテージを定義します。アプリケーションレベルと組織レベルのセーフガードはデフォルトで有効になっており、20%に設定されています。「インポートセーフガード」を参照してください。
- [Inline Hooks(インラインフック)]:このセクションを使用して、外部アプリケーションからOktaに新規ユーザーをインポートするプロセスにカスタムロジックを追加します。プロファイル属性の競合を解決し、インポートされたユーザーを既存のユーザーの一致として扱うかどうかを制御できます。インポートのインラインフックを有効にするには、「インラインフック」を参照してください。
- [Okta Attribute Mappings(Okta属性マッピング)]:ページのこの部分を使用して、Oktaアプリ統合とユーザープロファイルの属性とマッピングを編集します。「プロファイルを管理する」を参照してください。
[API Integration(API統合)]外部アプリケーションの中には、APIに対して認証を行うためにトークンを必要とするものがあります。[Authenticate with App Name(アプリ名で認証)]ボタンをクリックするとトークンが生成されます。外部アプリケーションにリダイレクトされるので、そこで認証を行ってトークンを取得する必要があります。
注
一部の外部アプリケーションのAPIエンドポイントでは、APIが設定されると、アプリケーションのグループがOktaにインポートされる場合があります。これは予想される動作です。
- [Edit(編集)]をクリックします。
- プロビジョニングオプションを選択し、[Save(保存)]をクリックします。
- 任意。下にスクロールして[Attributes Mappings(属性マッピング)]エリアで[Go to Profile Editor(プロファイルエディタに進む)]をクリックします。
- [Mappings(マッピング)]を選択し、[Okta User to <application name>(Oktaユーザーから<アプリケーション名>へ)]タブをクリックします。
- 属性を編集して[Save Mappings(マッピングの保存)]をクリックします。
- [Apply updates now(今すぐ更新を適用)]をクリックします。