Workplace by Facebook
このガイドでは、Workplace by Facebook向けにプロビジョニングを設定するために必要な手順を説明します。
機能
- 新規ユーザーをインポート
- プロファイルの更新をインポート
- ユーザー スキーマをインポート
- 新規ユーザーをプッシュ
- プロファイルの更新をプッシュ
- パスワードの更新をプッシュ
- ユーザーの非アクティブ化をプッシュ
- グループをプッシュ*
*重要
Workplace by Facebookでグループ プッシュを使用したい場合、Oktaサポートに連絡してFACEBOOK_AT_WORK_ENABLE_GROUP_PUSH_ENHANCEMENTSを有効化するよう依頼してください。
要件
プロビジョニング機能を有効化するには、まずFacebookからOrganization ID(組織ID)を取得する必要があります。
組織IDを取得すると、以下に示すように新しいFacebookアプリケーションを作成できます。
構成の手順
- Oktaで、[Admin Console(管理コンソール)]>[Applications(アプリケーション)]に進み、[Add Application(アプリケーションの追加)]をクリックします。
- Workplace by Facebookを検索し、[Add(追加)]をクリックします。
- [General Settings(一般設定)]の下で[Application label(アプリケーション ラベル)]、[SubDomain(サブドメイン)]、および[Organization ID(組織ID)](要件)の値を入力し、[Done(完了)]をクリックします。
- [Provisioning(プロビジョニング)]タブを選択して[Configure API Integration(API統合を設定)]をクリックします。
- [Enable API integration(API統合を有効化)]をオンにし、[Authenticate with Workplace by Facebook(Workplace by Facebookで認証)]をクリックします。
- Workplace組織で新しいウィンドウが開きます。場合によってはOktaがAPIを使用できるようにFacebook管理者の資格情報を入力する必要があります。これを行うには、[Add to Workplace(Workplaceに追加)]をクリックします。Add Okta Identity to groups(Okta Identityをグループに追加)オプションは、All groups(すべてのグループ)を選択しなければなりません。
- 一連のリダイレクトの後、新規アプリケーションが構成されます。[Save(保存)]をクリックしてこのウィンドウをお使いのFacebook組織設定で閉じます。
- Workplace by Facebook was verified successfull(Workplace by Facebookの検証に成功しました)メッセージが現れたら、[Save(保存)]をクリックします。
- 左パネルで[To App(アプリへ)]を選択し、次に有効化したいプロビジョニング機能を選択し、[Save(保存)]をクリックします。
スキーマ検出
Workplace by Facebookはユーザーのスキーマ検出をサポートするため、ユーザーのプロファイルに他の属性を追加することができます。Oktaでこれを行うには、
- [Directory(ディレクトリ)] >[Profile Editor(プロファイルエディター)]の順に進みます。
- 左ペインから[APPS(アプリ)]セクションを選択し、リストから目的のアプリを見つけます。
- 属性の一覧を確認します。必要な属性が見つからない場合、[Add Attribute(属性の追加)]をクリックして拡張された属性リストを表示します。
- 追加したい属性をチェックし、[Save(保存)]をクリックします。
- これで、Facebookとの間でこのユーザー属性の値をインポートしたりプッシュできるようになりました。
位置属性:
デフォルトでは、Facebookユーザーを作成/アップデートすると、OktaはユーザーのLocation(位置)をカンマ区切りのアドレス プロパティ(street, city, state,など)で自動入力します。この動作がニーズに合わない場合、以下に示すようにスキーマ検出を介して[Location(位置)]フィールドを AppUserに追加し、それに従ってマップできます。
- [Refresh Attribute List(属性リストを更新)]をクリックします。
- 属性のリストから[Location(位置)]フィールドを見つけます。
- それをAppUserプロファイルに追加します。
- OktaからWorkplace by Facebookへ[Location(位置)]フィールドのマッピングをセットアップします。
例:user.city > location
トラブルシューティング
管理者属性を設定するには
下表に従い、管理者属性のマッピングを構成します(詳しくはOkta式言語を参照してください)
| シナリオ | 管理者属性のマッピング |
|---|---|
| 管理者をFacebook at Workplaceにプッシュしない | 空白 |
| OKTAからユーザー向けに管理者のみをプッシュする | user.manager |
| ADからインポートされたユーザー向けに管理者をプッシュ | getManagerAppUser("active_directory", "facebook_at_work").userName |
| OKTAおよびADからユーザー向けに管理者をプッシュ | hasDirectoryUser() ? getManagerAppUser("active_directory", "facebook_at_work").userName : user.manager |
移行でマネージャーを既存のアプリ インスタンス向けにOkta式言語へプッシュ - Early Access機能に進み、Enable Okta Expression Language for manager attribute mapping for Facebook at Work(Facebook at Workで管理者属性マッピング向けにOkta式言語を有効化)を有効にします。この機能は既存のアプリ インスタンスのみで利用可能です。
- 下表に従い、管理者属性のマッピングを構成します(詳しくはOkta式言語を参照してください)
| シナリオ | 管理者属性のマッピング |
|---|---|
| 管理者をFacebook at Workplaceにプッシュしない | 空白 |
| OKTAからユーザー向けに管理者のみをプッシュする | user.manager |
| ADからインポートされたユーザー向けに管理者をプッシュ | getManagerAppUser("active_directory", "facebook_at_work").userName |
| OKTAおよびADからユーザー向けに管理者をプッシュ | hasDirectoryUser() ? getManagerAppUser("active_directory", "facebook_at_work").userName : user.manager |
確認済みのメンバーリードを追加してグループをプッシュする際にエラーが発生 エラー = このユーザーは親グループのメンバーではありません
- Workplace by Facebookアカウントで[Admin panel(管理者パネル)]>[People(ユーザー)]に進みます。
- グループのユーザーの[Account Status(アカウント ステータス)]を確認します。[Deactivated(非アクティブ化)]ステータスのユーザーは存在しないはずです。
グループが作成されたが、Workplace by Facebook管理者パネルでグループのメンバーが表示されない - Workplace by Facebookアカウントで[Admin panel(管理者パネル)]>[People(ユーザー)]に進みます。
目的のグループを見つけ、グループに[Join as Admin(管理者として参加)]を選択します。
制限事項
現行のWorkplace Facebookコネクターは1つのADドメインから管理者/従業員関係を取得することができますが、Oktaを使用したプロビジョニングをFacebookに使用して複数のADドメインからユーザーデータを引き出す場合、複数のドメインからこれらの関係を取得することができないため、Oktaはユーザーをプロビジョニングできません。この既知の制限事項は、近い将来解決される予定です。