Okta Org2OrgとOktaの統合

ハブのorgモデルへのOrg2Orgのスポークのプロビジョニング接続を保護するには、次の2つの方法があります。

  • OAuth 2.0を使用:Okta APIを使用することで、OAuth 2.0を使用したorg間の接続を構成できます。手順については、「OAuth 2.0を使用したorg間のAPI接続の保護」を参照してください。

  • APIトークンを使用:プロビジョニングのためにOkta Org2Orgを統合する次の手順では、APIトークンを使用してorg間の接続を保護します。

    APIトークンを作成するにはOktaスーパー管理者権限が必要です。Oktaスーパー管理者権限をお持ちでない場合、プロビジョニング設定を定義することはできません。

この手順では、Okta接続したorgにOkta Org2Orgアプリがインストールされていることを前提とします。接続orgはOkta中央orgと接続しています。Okta Org2Orgを使用して複数のorgをOkta中央orgに接続できます。この手法はハブアンドスポークとしても知られています。ハブはOkta中央orgであり、そこに接続する各orgがスポークです。

  1. 接続するOkta orgにOkta Org2Orgアプリが追加されていない場合、ここで追加します。

    1. Okta Admin Consoleで、[Applications(アプリケーション)]>[Applications(アプリケーション)]に移動します。

    2. [Add Application(アプリケーションの追加)]をクリックします。
    3. [Search(検索)]フィールドにOrg2Orgと入力し、Okta Org2Orgを選択します。
    4. [Add(追加)]をクリックします。
    5. [General Settings(一般設定)]ページのフィールドに入力し、[Next(次へ)]をクリックします。
    6. [Sign-On Options(サインオンオプション)]ペインの[Sign On Methods(サインオン方法)]で、サインオンのオプションを選択します。
    7. [Done(完了)]をクリックします。
    8. サインオン方法として[SAML 2.0]を選択した場合は、[Sign On(サインオン)]タブをクリックして、[View SAML setup Instructions(SAMLのセットアップ手順を表示)]をクリックし、指示に従ってセットアップを完了します。
  2. Okta中央orgでAPIトークンを作成します。
    1. Okta Admin Consoleで、[Security(セキュリティ)]>[API]に移動します。
    2. [Tokens(トークン)]タブをクリックして[Create Token(トークンの作成)]をクリックします。
    3. トークン名としてわかりやすい名前を入力して、[Create Token(トークンを作成)]をクリックします。
    4. トークンの値をクリップボードまたはテキストエディターにコピーします。
    5. [OK, got it(OK、了解)]をクリックします。

  3. Okta Admin Consoleで、[Applications(アプリケーション)]>[Applications(アプリケーション)]に移動します。

  4. アプリケーションのリストからOkta Org2Orgを選択します。
  5. [Provisioning(プロビジョニング)]タブをクリックし、[Configure API Integration(API統合を構成)]をクリックして[Enable API Integration(API統合を有効化)]チェックボックスを選択します。
  6. 以下のフィールドに入力します。
    • Security token(セキュリティトークン):ステップ2dでコピーしたセキュリティトークンを貼り付けます。
    • [Prefer Username Over Email(Eメールよりユーザー名を優先)]:任意。メールアドレスをユーザー名として使用したくない場合にこのオプションを選択します。
    • [Import Groups(グループのインポート)]:任意。接続したorgからグループをインポートしたくない場合はこのチェックボックスをオフにします。
  7. 任意。[Test API Credentials(API資格情報をテスト)]をクリックしてAPI統合をテストします。
  8. [Save(保存)]をクリックします。

  9. 任意。Okta中央orgから接続されたorgへプロビジョニング設定を変更します。

    1. [Provisioning(プロビジョニング)]タブをクリックして[SETTINGS(設定)]リストから[To App(アプリへ)]を選択します。
    2. [Edit(編集)]をクリックします。
    3. [Create Users(ユーザーを作成)][Update User Attributes(ユーザー属性をアップデート)][Deactivate Users(ユーザーを非アクティブ化)]、または[Sync Password(パスワードを同期化)]チェックボックスを選択して機能を有効化します。
    1. [Save(保存)]をクリックします。
  10. 任意。接続されたorgからOkta中央orgへプロビジョニング設定を変更します。
    1. [Provisioning(プロビジョニング)]タブをクリックして[SETTINGS(設定)]リストから[To Okta(Oktaへ)]を選択します。
    2. [General(一般)]、[User Creation & Matching(ユーザーの作成と一致)][Profile & Lifecycle Sourcing(プロファイルおよびライフサイクルソーシング)]、または[Import Safeguard(インポートセーフガード)]エリアで、[Edit(編集)]をクリックして設定を編集します。

      3. [Profile & Lifecycle Sourcing(プロファイルおよびライフサイクルソーシング)]エリアの[Allow Okta Org2Org to source Okta users(Okta Org2OrgにOktaユーザーのソーシングを許可)]を選択すると、接続したorgがユーザープロファイルデータのソースとなります。Oktaユーザーを接続orgにインポートすると、接続orgのユーザープロパティに加えられた変更が、そのユーザーが割り当てられているほかのアプリにも適用されます。

    1. [Save(保存)]をクリックします。
  11. 任意。ユーザーまたはグループを接続済みのOkta Org2Orgアプリに割り当てます。
    1. [Assignments(割り当て)]タブをクリックし、[Assign(割り当て)]をクリックして[Assign to People(ユーザーに割り当て)]または[Assign to Groups(グループに割り当て)]を選択します。
    2. ユーザーまたはグループ名の隣にある[Assign(割り当て)]をクリックするか、[Search(検索)]フィールドにユーザー名またはグループ名を入力して[Assign(割り当て)]をクリックします。
    3. 必須フィールドおよび任意フィールドに入力します。

      4. [Initial status(初期ステータス)]リストからオプションを選択する必要があります。この属性は接続orgのユーザーが作成、リンク、または再アクティブ化されたときの、ユーザーのステータスを定義します。active_with_passまたはpending_with passを選択した場合、ユーザー向けに一時パスワードが作成されます。[Okta Password Sync(Oktaパスワード同期)]を有効にした場合、ユーザーがサインインしたときにユーザーの一時パスワードは上書きされます。

    4. [Save and Go Back(保存して戻る)][Done(完了)]をクリックします。
  12. 任意。新しいOktaグループを接続orgにプッシュします。「グループプッシュを管理する」を参照してください。