On-premises Connector for Generic Databases

早期アクセスリリース

汎用データベース用のオンプレミスコネクターは、オンプレミスデータベースをOkta Identity Governanceプラットフォームに接続するために、すぐに使用できるソリューションを提供します。このコネクターは、Okta Provisioning Agent（OPP）とOkta On-prem System for Cross-domain Identity Management（SCIM）サーバーエージェントを使用して、さまざまなデータベースシステム内のユーザーとエンタイトルメントを管理します。これにより、カスタム統合の必要がなくなるため、セキュリティが強化され、ガバナンスが簡略化されます。

Oktaと統合することで、アクセスリクエスト、アクセス認定、ユーザーのプロビジョニングとプロビジョニング解除、オンプレミスデータベース環境の職務分離（SoD）など、中核となるIDガバナンス機能が可能になります。

このコネクターでは、Oracle、MySQL、PostgreSQL、Microsoft SQL Serverの関連データベース管理システムのプロビジョニングとエンタイトルメント管理がサポートされます。

システム要件

On-prem Connector for Generic Databasesをインストールするには、システムがハードウェアとソフトウェアの要件を満たしていることを確認してください。「On-premises Connector - Generic Databasesのシステム要件」を参照してください。

プロビジョニングおよびエンタイトルメント機能

このコネクターは、次の機能をサポートします。

• ユーザーの作成：ユーザーがOktaのアプリに割り当てられると、オンプレミスデータベースにユーザーを自動的に作成します。
• ユーザーの更新：Oktaのユーザープロファイルに加えられた変更をデータベースに同期します。
• ユーザーのプロビジョニング/プロビジョニング解除：データベース内のユーザーアカウントのアクティブ状態または非アクティブ状態を管理します。
• エンタイトルメントの管理：Oktaを介してデータベースからユーザーエンタイトルメントの割り当て、または削除を行います。
• ユーザーとエンタイトルメントのインポート：ユーザーとエンタイトルメントのデータを、データベースからOktaに手動によるスケジュール済みのインポートを行います。

開始する前に

• Okta Provisioning Agentをインストールする
• Okta On-prem SCIMサーバーをインストールする
• オンプレミスコネクターでデータベースアカウントを使用するために以下の情報を収集します。
  • データベースアカウントのユーザー名
  • データベースアカウントのパスワード
  • データベースのタイプ
  • IP/ドメイン名
  • ポート番号
  • データベースの名前

JDKおよびJDBCパッケージをダウンロードする

• 信頼できるソースからJDKバージョン21をダウンロードし、Linuxサーバーにアップロードします。
• 必要なJDBCドライバー（Oracle OJDBCなど）をダウンロードし、Linuxサーバーにアップロードします。

データベースコネクター機能を有効にする

1. Admin Consoleで［Settings（設定）］ ［Features（機能）］に移動します。
2. ［Early access（早期アクセス）］セクションで、次のオプションを有効にします。
   1. 汎用データベース用のオンプレミスコネクター
   2. SCIM 2.0対応OPPエージェント

汎用データベース用のオンプレミスコネクターを構成する

必要なコンポーネントをインストールして構成したら、Admin Consoleでアプリを構成できます。

1. Admin Consoleで、［Applications（アプリケーション）］［Applications（アプリケーション）］に移動します。

2. ［Browse App Catalog（アプリカタログを参照）］をクリックします。
3. On-prem Connector for Generic Databasesを検索して選択し、［Add Integration（統合を追加）］をクリックします。
4. 一般設定を構成し、［Next（次へ）］をクリックします。
5. サインオンオプションを構成し、［Done（完了）］をクリックします。
6. ［General（一般）］タブに進み、［Entitlement management（エンタイトルメント管理）］セクションの［Edit（編集）］をクリックします。
7. ［Entitlement Management（エンタイトルメント管理）］ドロップダウンメニューから、［Enabled（有効）］を選択します。
8. ［Save（保存）］をクリックします。機能が有効になるまで少し時間がかかる場合があります。有効になった後、ページを更新して［ガバナンス］タブを表示できます。
9. ［プロビジョニング］タブに移動します。［Enable provisioning（プロビジョニングを有効化）］をクリックします。
10. インストールしたOkta Provisioning Agentを選択し、［Next（次へ）］をクリックします。
11. Okta Provisioning AgentとOkta On-prem SCIMサーバーに接続するには、次の必要な情報を入力します。

    APIトークンと公開鍵を取得するには、ターミナルで次のコマンドを実行します：sudo /opt/OktaOnPremScimServer/bin/Get-OktaOnPremScimServer-Credentials.sh

    1. IPアドレス：Okta On-prem SCIMサーバーエージェントがインストールされているサーバーのIPアドレスまたは完全修飾ドメイン名。

    2. APIトークン：SCIMサーバーのインストール時に生成したAPIベアラートークン。

       トークンを入力するときは、次の形式を使用する必要があります：Bearer <API token>（Bearer 2338a******880など）。

    3. 公開鍵：サーバーからダウンロードした.crt証明書ファイルをアップロードします。

12. ［Next（次へ）］をクリックします。
13. データベース接続の詳細を入力し、［Connect agents（エージェントを接続）］をクリックします。
14. スキーマとインポート設定を定義します。
15. プロビジョニングアクションを定義します。
16. プロビジョニングページでアプリ属性をマッピングします。

スキーマとインポート設定を定義する

1. ［プロビジョニング］タブに移動します。
2. ［Settings（設定）］で、［Integration（統合）］ ［To Okta（Oktaへ）］セクションを選択します。［Schema discovery & Import（スキーマ検出およびインポート）］の横にある［Edit（編集）］をクリックします。
3. ［Get Users（ユーザーの取得）］で、［Enabled（有効）］を選択します。
4. ［SQL Statement（SQLステートメント）］または［Stored Procedure（ストアドプロシージャ）］を選択します。
5. クエリまたはプロシージャとユーザーIDを入力します。
6. ［Get All Entitlements（すべてのエンターテインメントを取得）］で、［Enabled（有効）］を選択します。
7. ［SQL Statement（SQLステートメント）］または［Stored Procedure（ストアドプロシージャ）］を選択します。
8. クエリまたはプロシージャ、エンタイトルメントID、エンタイトルメント表示列を入力します。
9. 任意。各ユーザーに一度に1つのエンタイトルメントのみを割り当るように強制する場合は、［Enable Single Entitlements per User（ユーザーごとにシングルエンタイトルメントを有効にする）］を選択します。

   この設定は永続的です。エンタイトルメントが検出された後でこの値を変更することはできません。

10. ［Save（保存）］をクリックします。

プロビジョニングアクションを定義する

1. ［To App（アプリへ）］セクションに移動し、［Edit（編集）］をクリックします。
2. 必要なプロビジョニングオプションを有効にします。例：ユーザーの作成、ユーザーの更新、ユーザーの非アクティブ化。
3. 各操作に必要なSQLステートメントまたはストアドプロシージャを提供します（例：INSERT、UPDATE、DELETE）。
4. SQLステートメントまたはストアド手順のパラメーターをOktaの適切なユーザー属性にマッピングします。
5. ［Save（保存）］をクリックします。