Workplace for Facebook
このガイドでは、Workplace for Facebook向けにプロビジョニングを設定するために必要な手順を説明します。
機能
- 新規ユーザーをインポート
- プロファイルの更新をインポート
- ユーザースキーマのインポート
- 新規ユーザーをプッシュ
- プロファイルの更新をプッシュ
- パスワードの更新をプッシュ
- ユーザーの非アクティブ化をプッシュ
- グループをプッシュ
要件
プロビジョニング機能を有効化するには、まずFacebookから組織IDを取得する必要があります。
組織IDを取得すると、以下に示すように新しいFacebookアプリケーションを作成できます。
構成
- Okta Admin Consoleで、[Applications(アプリケーション)]>[Applications(アプリケーション)]に移動します。
- [Add Application(アプリケーションの追加)]をクリックします。
- Workplace for Facebookを検索し、[Add(追加)]をクリックします。
- [General Settings(一般設定)]の下で[Application label(アプリケーションラベル)]、[SubDomain(サブドメイン)]、および[Organization ID(組織ID)](要件を参照)の値を入力し、[Done(完了)]をクリックします。
- [Provisioning(プロビジョニング)]タブを選択して[Configure API(APIを構成)]をクリックします。
- [Enable API integration(API統合を有効化)]をオンにし、[Authenticate with Workplace by Facebook(Workplace by Facebookで認証)]をクリックします。
- Workplace組織で新しいウィンドウが開きます。場合によってはOktaがAPIを使用できるようにFacebook管理者の資格情報を入力する必要があります。これを行うには、[Add to Workplace(Workplaceに追加)]をクリックします。[Add Okta Identity to groups(Okta Identityをグループに追加)]オプションでは、[All groups(すべてのグループ)]を選択する必要があります。
- 一連のリダイレクトの後、新しいアプリケーションが構成されます。[Save(保存)]をクリックして、Facebookのorg設定でこのウィンドウを閉じます。
- 「Workplace for Facebook was verified successfull(Workplace for Facebookの検証に成功しました)」メッセージが表示されたら、[Save(保存)]をクリックします。
- 左パネルで[To App(アプリへ)]を選択し、有効化するプロビジョニング機能を選択して、[Save(保存)]をクリックします。
スキーマ検出
Workplace by Facebookはユーザーのスキーマ検出をサポートするため、ユーザープロファイルに他の属性を追加することができます。Oktaでこれを行うには、
-
Okta Admin Consoleで、[Directory(ディレクトリ)]>[Profile Editor(プロファイルエディタ)]に進みます。
- 左ペインから[APPS(アプリ)]セクションを選択し、リストから目的のアプリを見つけます。
- 属性の一覧を確認します。必要な属性が見つからない場合、[Add Attribute(属性の追加)]をクリックして拡張された属性リストを表示します。
- 追加したい属性をチェックし、[Save(保存)]をクリックします。
- これで、Facebookとの間でこのユーザー属性の値をインポートしたりプッシュしたりできるようになりました。
位置属性:
デフォルトでは、Facebookユーザーを作成またはアップデートすると、Oktaはユーザーの位置をカンマ区切りのアドレスプロパティ(street, city, stateなど)で入力します。この動作がニーズに合わない場合、以下に示すようにスキーマ検出を介して[Location(位置)]フィールドをAppUserに追加し、それに従ってマップできます。
- [Refresh Attribute List(属性リストを更新)]をクリックします。
- 属性のリストから[Location(位置)]フィールドを見つけます。
- それをAppUserプロファイルに追加します。
- OktaからWorkplace by Facebookへ[Location(位置)]フィールドのマッピングを設定します。
例:user.city > location
制限事項
Workplace by Facebookコネクターは、単一のADドメインからマネージャー/従業員の関係をプルできます。ただし、OktaによるプロビジョニングをFacebookに使用して複数のADドメインからユーザーデータをプルする場合、複数のドメイン間でこれらの関係をプルできないため、Oktaはユーザーをプロビジョニングできません。
トラブルシューティング
管理者属性の設定
下の表に従って管理者属性のマッピングを構成します(詳しくは「Okta式言語」を参照)。
| シナリオ | 管理者属性のマッピング |
|---|---|
| 管理者をFacebook at Workplaceにプッシュしない | 空白 |
| Oktaからユーザー向けに管理者のみをプッシュする | user.manager |
| ADからインポートされたユーザー向けに管理者をプッシュする | getManagerAppUser("active_directory", "facebook_at_work").userName |
| OktaおよびADからユーザー向けに管理者をプッシュする | hasDirectoryUser() ? getManagerAppUser("active_directory", "facebook_at_work").userName : user.manager |
移行でマネージャーを既存のアプリインスタンス向けにOkta式言語へプッシュする
これは早期アクセス機能です。この機能を有効にするには、「早期アクセスおよびBeta機能の管理」で説明したように、早期アクセス機能マネージャーを使用します。
- 早期アクセス機能に進み、[Enable Okta Expression Language for manager attribute mapping for Facebook at Work(Facebook at Workの管理者属性マッピング向けにOkta式言語を有効化)]を有効にします。この機能は既存のアプリインスタンスでのみ利用可能です。
- 下の表に従って管理者属性のマッピングを構成します(詳しくは「Okta式言語」を参照)。
| シナリオ | 管理者属性のマッピング |
|---|---|
| 管理者をFacebook at Workplaceにプッシュしない | 空白 |
| Oktaからユーザー向けに管理者のみをプッシュする | user.manager |
| ADからインポートされたユーザー向けに管理者をプッシュ | getManagerAppUser("active_directory", "facebook_at_work").userName |
| OktaおよびADからユーザー向けに管理者をプッシュする | hasDirectoryUser() ? getManagerAppUser("active_directory", "facebook_at_work").userName : user.manager |
確認済みのメンバーを追加するとグループをプッシュする際にエラーが発生する
エラー:このユーザーは親グループのメンバーではありません。
- Workplace for Facebookアカウントで[Admin panel(管理者パネル)]>[People(ユーザー)]に進みます。
- グループのユーザーの[Account Status(アカウントステータス)]を確認します。[Deactivated(非アクティブ化)]ステータスのユーザーは存在しないはずです。
グループは作成されたが、管理パネルにメンバーが表示されない
- Workplace for Facebookアカウントで[Admin panel(管理者パネル)]>[People(ユーザー)]に進みます。
-
目的のグループを見つけ、[Join as Admin(管理者として参加)]を選択します。
