Okta Org2OrgをOktaと統合する

Okta Org2Orgの統合を使用して、ソースOkta orgからターゲットorgにユーザーを認証し、任意でプロビジョニングできます。この統合はソースorgでインストールおよび構成されます。Okta Org2Orgを使用して複数のソースorgを1つのOktaターゲットorgに接続できます。この統合によって、ユーザーをソースorgからターゲットorgにプッシュできるようになります。

Org2Orgアプリのプロビジョニング機能を利用する場合、OAuth 2.0またはAPIトークンを使用してorg間の接続を保護できます。

Org2Orgが使用される一般的なシナリオは、ハブアンドスポークモデルです。これらのシナリオでは、スポークorgがソースorgであり、ハブorgがターゲットorgです。

Org2Org統合は、Okta Integrator無料プランorgでは使用できません。Okta Integrator無料プランorgでこの機能をテストする必要がある場合は、Oktaアカウントチームにお問い合わせください。

タスク

OIDCを使用してorg間のフェデレーションを構成する(推奨)

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

OIDCを使用して2つのOkta org間のフェデレーションを構成するには、最初にOrg2Org統合をソース(スポーク)orgに追加してから、ターゲット(ハブ)orgでOIDC IDプロバイダーをセットアップします。

ソースorgにOrg2Org統合を追加する

  1. ソースorgでAdmin Consoleを開き、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  2. [Browse App Catalog(アプリカタログを参照)]をクリックします。
  3. Okta Org2Orgアプリを検索して選択します。
  4. [Add Integration(統合を追加)]をクリックします。
  5. [General Settings(一般設定)]ページで、以下のフィールドに入力します。
    • [Application Label(アプリケーションラベル)]:ソースアプリの名前を追加します(例:Oktapoke org)。
    • [Base Url(ベースURL)]:ターゲット(ハブ)orgのOktaドメイン名を追加します(例:https://your-hub-domain.okta.com)。
    • [Application Visibility(アプリケーションの可視性)]:ソースorgのEnd-User DashboardにOrg2Orgアプリを表示したくない場合は、このチェックボックスを選択します。必要に応じて、後ほど変更できます。
    • [Browser plugin auto-submit(ブラウザープラグインの自動送信)]:機能を有効にするには、このチェックボックスを選択します。
  6. [Next(次へ)]をクリックします。
  7. [OpenID Connect]のサインオンオプションを選択してから、[Done(完了)]をクリックします。

ターゲットorgでOIDC IdPをセットアップする

  1. ターゲットorgでAdmin Consoleを開き、[Security(セキュリティ)][Identity Providers(IDプロバイダー)]に移動します。
  2. [Add Identity Provider(IDプロバイダーを追加)]をクリックします。
  3. [Okta Integration IdP]をクリックし、[Next(次へ)]をクリックします
  4. [General settings(一般設定)]に、IdPの名前を入力します。
  5. [Okta IdP Org URL]フィールドに、ソース(スポーク)orgのベースURLを入力します。たとえば、https://your_spoke_domain.okta.comです。
  6. [Client details(クライアントの詳細)]セクションに、Org2OrgアプリのクライアントIDを入力します。クライアントIDは、ソースorgのアプリリストから特定できます。
  7. [Authentication Settings(認証設定)]セクションで、デフォルト設定を使用します。これらの構成について詳しくは「Okta統合IDプロバイダーを追加する」を参照してください。
  8. [Finish(終了)]をクリックします。
  9. Okta Integration IdPの要約で、[IdP ID][Authorize URL(URLを承認)][Redirect URI(リダイレクトURI)] の値をコピーし、安全な場所に保管します。

ソースorgでOrg2Org OIDC構成を完了する

  1. ソースorgでAdmin Consoleを開き、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  2. Okta Org2Orgアプリを選択します。
  3. [Authentication(認証)] タブで、[Sign-on settings(サインオン設定)] セクションの[Edit(編集)]をクリックします。
  4. [Advanced Sign-on Settings(高度なサインオン設定)]で、先ほどコピーしておいたIdP IDを[Target Org IdP ID(ターゲットOrg IdP ID)]フィールドに貼り付けます。
  5. [Save(保存)]をクリックします。
  6. 任意。OAuth 2.0(推奨)またはAPIトークンを使用した、ソースorgからターゲットorgへのプロビジョニングを有効にします。

SAMLを使用してorg間のフェデレーションを構成する

SAMLを使用して2つのOkta org間のフェデレーションを構成するには、最初にOrg2Org統合をソース(スポーク)orgに追加してから、ターゲット(ハブ)orgでSAML IDプロバイダーをセットアップします。

ソースorgにOrg2Org統合を追加する

  1. ソースorgでAdmin Consoleを開き、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  2. [Browse App Catalog(アプリカタログを参照)]をクリックします。
  3. [Search(検索)]フィールドにOrg2Orgと入力し、Okta Org2Orgを選択します。
  4. [Add Integration(統合を追加)]をクリックします。
  5. [General Settings(一般設定)]タブで、以下のフィールドに入力します。
    • [Application label(アプリケーションラベル)]:ソースorgの名前(例: Oktapoke org)。
    • [Base URL(ベースURL)]:ターゲット(ハブ)orgのドメインURL (例: https://your-hub-org.okta.com)。
    • [Application visibility(アプリケーションの可視性)]:ソースorgのEnd-User DashboardにOrg2Orgアプリを表示したくない場合は、このチェックボックスを選択します。必要に応じて、後ほど変更できます。
    • [Browser plugin auto-submit(ブラウザープラグインの自動送信)]:この設定はオフのままにします。
  6. [Next(次へ)]をクリックします。
  7. [SAML 2.0]サインオンオプションを選択します。
  8. [Done(完了)] をクリックします。
  9. Org2Orgアプリを開き、[Authentication(認証)]タブに移動します。
  10. [View SAML setup Instructions(SAMLのセットアップ手順を表示)]をクリックします。org固有の手順を使用して、ターゲットorgでSAML IdPを作成してOrg2Orgアプリと連携させます。

ターゲットorgでSAML IdPをセットアップする

  1. ターゲットorgでAdmin Consoleを開き、[Security(セキュリティ)][Identity Providers(IDプロバイダー)]に移動します。
  2. [Add Identity Provider(IDプロバイダーを追加)]をクリックします。
  3. [SAML 2.0 IdP]を選択し、[Next(次へ)]をクリックします。
  4. [General settings(一般設定)]に、IdPの名前を入力します。
  5. [Account matching with IdP Username(IdPユーザー名とのアカウント照合)]で、idpuser.subjectNameId を選択し、ユーザー名が含まれるSAMLアサーションでエンティティを参照します。
  6. [SAML Protocol Settings(SAMLプロトコル設定)]で、[IdP Issuer URI(IdP発行者URI)][IdP Single Sign-On URL(IdPシングルサインオンURL)][IdP Signature Certificate(IdP署名証明書)]のフィールドを、先ほどコピーした値で更新します。

ソースorgでOrg2Org SAMLの構成を完了する

  1. ソースorgでAdmin Consoleを開き、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  2. Org2Orgアプリを選択します。
  3. [Authentication(認証)]タブで、[Sign-on settings(サインオン設定)]セクションの[Edit(編集)]をクリックします。
  4. [Advanced Sign-on Settings(高度なサインオン設定)]で、[Hub ACS Url(ハブACS URI)][Audience URI(オーディエンスURI)]のフィールドを、ターゲットorgの値からコピーした値で更新します。
  5. [Save(保存)]をクリックします。
  6. 任意。OAuth 2.0(推奨)またはAPIトークンを使用した、ソースorgからターゲットorgへのプロビジョニングを有効にします。

ソースからターゲットへのプロビジョニングを有効にする

プロビジョニングは必要だが、ユーザー、ユーザープロファイル属性、グループのリアルタイム同期は不要な場合、ターゲットorgに手動でソースorgユーザーを作成してください。

  1. ソースorgで、アクティブユーザーのリストをエクスポートします。Admin Consoleで、[Reports(レポート)]に移動し、[Okta Password Health(Oktaパスワードの健全性)]をクリックします。レポートが生成され、メールアドレスに送信されます。レポートをダウンロードすることもできます。CSVファイルを開いて、[Status(ステータス)]列でフィルタリングしてアクティブユーザーを確認します。
  2. ターゲットorgでCSVファイルからユーザーをインポートします。ソースorgのグループ、アクセスが必要なアプリのすべてのグループにユーザーを割り当てます。
  3. ソースorg用に構成されたIdpに、新しく作成されたユーザーを手動でリンクします。

ユーザーのプロビジョニングおよびリアルタイム同期が必要な場合、次のいずれかの方法を選択します。

OAuthメソッドでは、APIトークンを使用してアプリのOAuth 2.0プロビジョニングを有効化しますが、その後はトークンは使用されません。OAuth 2.0アプローチは、プロビジョニングにAPIトークン方式を使用するよりも安全で、より細かい権限設定が可能です。

プロビジョニングにOAuth 2.0を使用する(自動キーローテーション)

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

この方法により、キーが自動的にローテーションされ、手動でキーを管理する必要がなくなります。

Oktaでは、OAuth 2.0のプロビジョニングにこの方法を使用することを推奨しています。

  1. ソースorgでAdmin Consoleを開き、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
    1. Org2Orgアプリを開きます。
    2. [プロビジョニング]タブに移動し、[Settings(設定)]メニューの下の[Integration(統合)]を選択します。
    3. [Edit(編集)]をクリックします。
    4. [Authentication Scheme(認証スキーム)]OAUTH Auto-Rotation (recommended)(OAUTH自動ローテーション(推奨))に設定します。
    5. [Client Public Key URL(クライアント公開鍵のURL)]の横にある[Copy(コピー)]ボタンをクリックします。
  2. ターゲットorgでAdmin Consoleを開き、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
    1. APIサービス統合アプリを作成します。「APIサービス統合を追加する」を参照してください。
    2. [一般]タブで[クライアントの資格情報]セクションに移動し、[Edit(編集)]をクリックします。
    3. [Client authentication(クライアント認証)]Public key / Private key(公開鍵/秘密鍵)に設定します。
    4. [Configuration(構成)]Use a URL to fetch keys dynamically(URLを使用してキーを動的に取得)に設定します。
    5. 手順1のクライアント公開鍵のURLを[URL]フィールドに貼り付けて、[Save(保存)]をクリックします。
    6. [管理者ロール]タブに移動して、[Edit assignments(割り当てを編集)]をクリックします。
    7. [Role(ロール)]ドロップダウンメニューのOrganization Administrator(組織管理者)を選択し、[Save Changes(変更を保存)]をクリックします。
    8. [Okta API Scopes(Okta APIスコープ)]タブで、[okta.users.manage]スコープと[okta.groups.manage]スコープに付与します。[okta.users.manage] スコープでは、アプリでユーザープロファイルと資格情報を作成して管理でき、[okta.groups.manage] スコープでは、アプリでorg内のグループを管理できます。
    9. [一般]タブで[一般設定]セクションに移動して、[Edit(編集)]をクリックします。
    10. [Require Demonstrating Proof of Possession (DPoP) header in token requests(トークンリクエストのDPoP(Demonstrating Proof of Possession)ヘッダーを必須にする)]チェックボックスを選択して、[Save(保存)]をクリックします。
    11. [一般]タブで[クライアントの資格情報]セクションに移動して、[Client ID(クライアントID)]をコピーします。
  3. ソースorgで、[Target Org Client ID(ターゲットorgのクライアントID)]フィールドにクライアントIDを貼り付け、[Save(保存)]をクリックします。
  4. 任意。[Test API Credentials(API資格情報をテスト)]をクリックして、ターゲットorgが正常に検証されていることを確認します。
  5. ソースorgで、Org2Org用のプロビジョニング設定を構成します。
    1. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
    2. Org2Orgアプリを開きます。
    3. [Provisioning(プロビジョニング)]タブで、[Okta Org2Org Attribute Mappings(Okta Org2Orgの属性マッピング)]セクションに移動し、initialStatus属性を見つけます。[Edit(編集)]をクリックします。
    4. 希望する設定を選択し、[Save(保存)]をクリックします。
  6. 任意。Org2Orgプロビジョニングをテストします。
    1. [アプリにプロビジョニング]セクションで[Edit(編集)]をクリックします。
    2. [Create Users(ユーザーの作成)][Update Users(ユーザーの更新)][Deactivate Users(ユーザーの非アクティブ化)]を選択し、[Save(保存)]をクリックします。
    3. グループにアプリを割り当てます。[Assignments(割り当て)]タブで[Assign(割り当て)][Assign to Groups(グループに割り当てる)]をクリックし、グループを選択して[Save and Go Back(保存して戻る)]をクリックします。[Done(完了)] をクリックします。構成済みグループに属するユーザーを一覧表示するには、ユーザー別で割り当てをフィルタリングします。
    4. ターゲットorgのAdmin Consoleに移動します。[Directory(ディレクトリ)][People(ユーザー)]に移動して、ソースorgでOrg2Orgアプリに割り当てられたユーザーがプロビジョニングされていることを確認します。

プロビジョニングにOAuth 2.0を使用する(手動キー構成)

org間のOAuth 2.0プロビジョニングを有効にするには、Okta APIとAdmin Consoleを連携する必要があります。

  1. ソースorgでAdmin Consoleを開き、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
    1. Org2Orgアプリを開きます。
    2. URLからアプリIDをコピーします。たとえば、URLが<sourceorg>/admin/app/okta_org2org/instance/0oa78guhzaGH4KHZt1d7/#tab-importの場合、IDは0oa78guhzaGH4KHZt1d7です。
  2. 前の手順でコピーしたアプリIDを渡し、Org2Orgアプリのキー資格情報を一覧表示します。
  3. ターゲットorgでAPIサービス統合を追加します。前の手順で取得したキーの資格情報をjwksオブジェクトのkeysエントリとして使用します。
  4. ターゲットorgでAdmin Consoleを開き、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。OAuth 2.0サービスアプリを開きます。
  5. [Admin roles(管理者ロール)]タブで[Edit assignments(割り当てを編集)]をクリックします。
  6. [+ Add assignment(+割り当てを追加)]をクリックし、[Role(ロール)]ドロップダウンリストで[Group Administrator(グループ管理者)]を選択します。
  7. [Save Changes(変更を保存)]をクリックします。
  8. APIスコープに同意を付与して、サービスアプリでユーザーを作成してユーザープロファイルと資格情報を管理できるようにします。
    1. ターゲットorgでAdmin Consoleを開き、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。OAuth 2.0サービスアプリを開きます。
    2. [Okta API Scopes(APIスコープ)]タブで、okta.groups.manageスコープとokta.users.manageスコープに同意を付与します。
  9. 任意。プロビジョニングを有効にして、アカウントの作成、更新、非アクティブ化を自動化します。
    1. ターゲットorgでAdmin Consoleを開き、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。OAuth 2.0サービスアプリを開き、[General(一般)] タブでクライアントIDをコピーします。
    2. ソースorgで、Okta APIを使用してOAuth 2.0ベースのプロビジョニングを有効にします
    3. ソースorgで、Org2Org用のプロビジョニング設定を構成します。
      1. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
      2. Org2Orgアプリを開きます。
      3. [Provisioning(プロビジョニング)]タブで、[Okta Org2Org Attribute Mappings(Okta Org2Orgの属性マッピング)]セクションに移動し、initialStatus属性を見つけます。[Edit(編集)]をクリックします。
      4. 希望する設定を選択し、[Save(保存)]をクリックします。
    4. 任意。Org2Orgプロビジョニングをテストします。
      1. [アプリにプロビジョニング]セクションで[Edit(編集)]をクリックします。
      2. [Create Users(ユーザーの作成)][Update Users(ユーザーの更新)][Deactivate Users(ユーザーの非アクティブ化)]を選択し、[Save(保存)]をクリックします。
      3. グループにアプリを割り当てます。[Assignments(割り当て)]タブで[Assign(割り当て)][Assign to Groups(グループに割り当てる)]をクリックし、グループを選択して[Save and Go Back(保存して戻る)]をクリックします。[Done(完了)] をクリックします。構成済みグループに属するユーザーを一覧表示するには、ユーザー別で割り当てをフィルタリングします。
      4. ターゲットorgのAdmin Consoleに移動します。[Directory(ディレクトリ)][People(ユーザー)]に移動して、ソースorgでOrg2Orgアプリに割り当てられたユーザーがプロビジョニングされていることを確認します。

APIトークンを使用したプロビジョニング

  1. OktaターゲットorgでAPIトークンを作成します。

    1. Admin Consoleで、[Security(セキュリティ)][API]に移動します。

    2. [トークン]タブをクリックして[Create Token(トークンの作成)]をクリックします。
    3. トークン名としてわかりやすい名前を入力して、[Create Token(トークンを作成)]をクリックします。
    4. トークンの値をクリップボードまたはテキストエディターにコピーします。
    5. [OK, got it(OK、了解)]をクリックします。
  2. ソースorgでAdmin Consoleを開き、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  3. アプリのリストからOkta Org2Orgを選択します。
  4. [Provisioning(プロビジョニング)]タブを選択し、[Configure API Integration(API統合を構成)]をクリックして[Enable API Integration(API統合を有効化)]を選択します。
  5. [Authentication Scheme(認証スキーム)]メニューからTOKENを選択します。
  6. 次のフィールドに情報を入力します。
    • Security token(セキュリティトークン):事前にコピーしたセキュリティトークンを貼り付けます。
    • [Prefer Username Over Email(メールよりユーザー名を優先)]:任意。メールアドレスをユーザー名として使用したくない場合にこのオプションを選択します。
    • [Import Groups(グループのインポート)]:任意。接続したorgからグループをインポートしたくない場合はこのチェックボックスをオフにします。
  7. 任意。[Test API Credentials(API資格情報をテスト)]をクリックしてAPI統合をテストします。
  8. [Save(保存)]をクリックします。

  9. 任意。Oktaターゲットorgからソースorgへプロビジョニング設定を変更します。

    1. [Provisioning(プロビジョニング)]タブをクリックし、[Settings(設定)][To App(アプリへ)]を選択します。
    2. [Edit(編集)]をクリックします。
    3. [Create Users(ユーザーを作成)][Update User Attributes(ユーザー属性を更新)][Deactivate Users(ユーザーを非アクティブ化)]、または[Sync Password(パスワードを同期化)]チェックボックスを選択します。
    4. [Save(保存)]をクリックします。
  10. 任意。ソースorgからターゲットOkta orgへのプロビジョニング設定を変更します。
    1. [Provisioning(プロビジョニング)]タブをクリックし、[Settings(設定)][To Okta(Oktaへ)]を選択します。
    2. [General(一般)][User Creation & Matching(ユーザーの作成と一致)][Profile & Lifecycle Sourcing(プロファイルおよびライフサイクルソーシング)]、または[Import Safeguard(インポートセーフガード)]エリアで[Edit(編集)]をクリックして設定を編集します。

      [Profile & Lifecycle Sourcing(プロファイルおよびライフサイクルソーシング)]エリアの[Allow Okta Org2Org to source Okta users(Okta Org2OrgにOktaユーザーのソーシングを許可)]を選択すると、ソースorgがユーザープロファイルデータのソースとなります。Oktaユーザーをターゲットorgにインポートすると、ソースorgのユーザープロパティに加えられた変更が、そのユーザーが割り当てられているほかのアプリにも適用されます。

    3. [Save(保存)]をクリックします。
    4. 初期ステータス(initialStatus)用にオプションを選択します。この属性は接続orgのユーザーが作成、リンク、または再アクティブ化されたときの、ユーザーのステータスを定義します。active_with_passまたはpending_with passを選択した場合、ユーザー向けに一時パスワードが作成されます。[Okta Password Sync(Oktaパスワード同期)]を有効にした場合、ユーザーがサインインしたときにユーザーの一時パスワードは上書きされます。[active_with_pass]が選択され、Okta Password Syncが有効でない場合、ユーザーは仮パスワードで作成されます。初期ステータスにおける[Attribute value(属性の値)]の最も一般的な構成は、 [Same value for all users(すべてのユーザーで同一の値)]およびactive_with_passです。[Edit(編集)]をクリックします。希望する設定を選択し、[Save(保存)]をクリックします。
  11. 任意。新しいOktaグループを接続orgにプッシュします。「グループプッシュを管理する」を参照してください。

Org2Org構成をテストする

org間のフェデレーションとプロビジョニングをセットアップしたら、構成をテストします。

ソースorgのユーザーをOrg2Orgアプリに割り当てる

  1. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  2. Org2Orgアプリを選択します。
  3. [Assignments(割り当て)]タブに移動して[Assign(割り当てる)][Assign to People(ユーザーに割り当てる)]を選択します。
  4. 適切なユーザーを選択し、[Assign(割り当て)]をクリックします。
  5. [Save and Go Back(保存して戻る)][Done(完了)]を順にクリックします。
  6. ターゲットorgに移動し、[Directory(ディレクトリ)][People(ユーザー)]に移動します。アプリを割り当てたユーザーを検索し、ターゲットorgにプロビジョニングされていることを確認します。

ソースorgのグループをOrg2Orgアプリにプッシュする

  1. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  2. Org2Orgアプリを選択します。
  3. [Push Groups(グループをプッシュ)]タブに移動します。
  4. [Push Groups(グループをプッシュする)][Find groups by name(名前でグループを検索)]を選択します。
  5. ターゲットorgにプッシュするグループを選択します。
  6. [Save(保存)]をクリックします。グループがターゲットorgにプロビジョニングされています。
  7. ハブorgに移動し、[Directory(ディレクトリ)][Groups(グループ)]を選択します。グループユーザーが以前にプロビジョニングされている場合は、そのユーザーがグループに表示されます。

ソースorgユーザー向けのブックマークアプリを作成する

ソースorgのユーザーがターゲットorgのリソースにサインインするためのブックマークアプリを作成できます。ターゲットorgユーザーにOrg2Orgアプリのアイコンを非表示にすることもできます。

  1. ターゲットorgで[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  2. ソースorgのユーザーに付与するアプリを選択します。
  3. 1人以上のソースorgユーザーにアプリを割り当てます。
  4. [General(一般)]タブの[App Embed Link(アプリの埋め込みリンク)]セクションで[Embed Link(埋め込みリンク)]の値をコピーします。
  5. ソースorgでブックマークアプリ統合を作成します。
  6. 次の値を連結してブックマークアプリのURLを作成します。
    • IdP Single Sign On URL(IdPのシングルサインオンURL) (例:https://sourceorg.okta.com/app/okta_org2org/app_ext_id/sso/saml
    • ?RelayState=
    • アプリの[Embed Link(埋め込みリンク)]の値(例:https://targetorg.okta/home/app_name/instance_id/app_id
      たとえば、前述の値を連結すると、結果のブックマークURLは次のようになります。https://sourceorg.okta.com/app/okta_org2org/app_ext_id/sso/saml?RelayState=https://targetorg.okta/home/app_name/org_id/app_id
  7. ソースorgでユーザーにブックマークアプリを割り当てます。
  8. ソースorgに移動し、割り当てられたユーザーとしてサインインします。