SCIMコネクターに接続する
SCIMコネクターは、SCIMサーバーと、Oktaとオンプレミスアプリの仲介の両方の役割を果たします。オンプレミスアプリがSCIMをネイティブにサポートしていない場合は、SCIMコネクターを作成する必要があります。
Okta Provisioning Connector SDKを使用してSCIMコネクターを構築するか、SCIMメッセージを処理できる任意のカスタム外部アプリやコネクターを使用することができます。SCIMコネクターは、Okta Provisioning Agentへのアクセスが可能なサーバーにインストールします。
Okta Provisioning Connector SDKに付属しているサンプルコネクターを使用することで、デプロイメントをテストすることができます。「SCIMコネクターを作成してテストする」を参照してください。
コネクターを構築してインストールした後、この手順を使用して、SCIMコネクターと通信するようにOktaアプリ統合を構成します。
-
Admin Consoleでに移動します。
- オンプレミスのアプリ統合を[Search(検索)]して選択します。
- [Provisioning(プロビジョニング)]タブに移動します。システムによってOkta Provisioning Agentの存在が検出され、SCIMコネクターを構成するように指示されます。
- [Configure SCIM Connector(SCIMコネクターを構成)]をクリックします。
- 以下のフィールドに入力します。
- [SCIM connector base URL(SCIMコネクターのベースURL)]:Okta Provisioning AgentがSCIMデータを転送する先のSCIMコネクターのURLを入力します。Okta Provisioning Agentバージョン2.1.0以降を使用している場合は、関連するSCIMサーバーが使用するSCIMバージョンを指定できます。これを行うには、ベースURLに「/v1」または「/v2」を含めて、サーバーがそれぞれSCIM 1.1またはSCIM 2.0を使用することを指定します。SCIMバージョンを指定しない場合は、エンタイトルメントをサポートしないSCIM 1.1がデフォルトで使用されます。ベースURLは末尾が/で終わる必要があります(例:https://servername.domain.com:8081/scim/v2/)。
Okta Provisioning Agentは、SCIM 2.0を使ってエンタイトルメントの検出やユーザーの作成/読み取り/更新/削除、ライフサイクル管理などのプロビジョニング機能をサポートします。プッシュグループには対応していません。
- [Authorization type(認可タイプ)]:[Basic Auth(Basic認証)](ユーザー名とパスワード)、[HTTP Header(HTTPヘッダー)](HTTPヘッダー名と値)、または[None(なし)]を選択します。
- [Basic Auth credentials(Basic認証資格情報)]:[Basic Auth(Basic認証)]を選択した場合、SCIMコネクターをホストしているWebサーバーのユーザー名とパスワードを入力します。
- [HTTP header name and value(HTTPヘッダー名と値)]:[HTTP Header(HTTPヘッダー)]を選択した場合、HTTPヘッダー名とヘッダー値を入力します。
- [Unique user field name(一意のユーザーフィールド名)]:オンプレミスシステム上のユーザーを一意に識別するために使用できるOktaユーザーのSCIMプロパティ名(userName)。
- [Accept user updates(ユーザーの更新を受け入れる)]:コネクターまたはSCIMサーバーからのデータを使用してOktaのユーザーアプリプロファイルを更新するには、このオプションを選択します。
- [Timeout for API calls(API呼び出しのタイムアウト)]:プロビジョニングAPI呼び出しのタイムアウト時間を選択します。SCIMエンドポイントからレスポンスが受信されない場合、この時間を過ぎるとプロビジョニング呼び出しがタイムアウトします。
- [Connect to the these agents(これらのエージェントに接続)]:使用するコネクターを接続するOkta Provisioning Agentを選択します。
- [SCIM connector base URL(SCIMコネクターのベースURL)]:Okta Provisioning AgentがSCIMデータを転送する先のSCIMコネクターのURLを入力します。Okta Provisioning Agentバージョン2.1.0以降を使用している場合は、関連するSCIMサーバーが使用するSCIMバージョンを指定できます。これを行うには、ベースURLに「/v1」または「/v2」を含めて、サーバーがそれぞれSCIM 1.1またはSCIM 2.0を使用することを指定します。SCIMバージョンを指定しない場合は、エンタイトルメントをサポートしないSCIM 1.1がデフォルトで使用されます。ベースURLは末尾が/で終わる必要があります(例:https://servername.domain.com:8081/scim/v2/)。
- [Test Connector Configuration(コネクター構成をテスト)]をクリックします。
- テストに合格したら、[Save(保存)]をクリックして設定を保存します。テストが不合格だった場合は設定を変更して再度試してください。
SCIMコネクターにUserManagementCapabilitiesメソッドが実装されていない場合、Oktaはすべてのプロビジョニング機能が実装されていると仮定します。Okta Provisioning Connector SDKを使用せずに独自のSCIMエンドポイントを実装している場合、SCIMコネクターまたはエンドポイントがすべてのプロビジョニング機能を実装していると見なされます。プロビジョニング機能の完全なリストについては、SDKに付属するSCIMServiceのJavadocを参照してください。
これでオンプレミスシステムがOktaに接続され、ユーザーのプロビジョニングやプロビジョニングタスクを実行できるようになります。プロビジョニングを無効にすると、プロビジョニング機能も無効になりますが、いつでも再有効化することができます。