プロファイルソーシングについて

プロファイルソースとは、ユーザーの身元の信頼できる情報源として機能するアプリケーションのことです。アプリまたはディレクトリの[Provisioning(プロビジョニング)]タブから有効にすると、[Profile Sources(プロファイルソース)]ページのプロファイルソースリストに表示されます。外部のプロファイルソースが特定されていない場合、Oktaがすべてのプロファイルのソースとなります。

[Profile Sources(プロファイルソース)]ページに複数のプロファイルソースが列挙されている場合、優先順位をつけて、ユーザーのプロファイル属性がそれぞれ異なるシステムで割り当てに基づいてソーシングされるようにすることができます。ユーザーのプロファイルに対するプロファイルソースは、常に1つしか使用できません。

プロファイルソースは、ユーザーの全ライフサイクル(作成、アップデート、無効化)を管理するのに役立つ強力なツールです。たとえば、Workdayをプロファイルソースに使用し、ユーザーの作成、更新、終了の各イベントをWorkdayからOktaに送信できます。

ここでは、プロファイルソーシングが可能なアプリやディレクトリをいくつかご紹介します。

  • Active Directory
  • BambooHR
  • G Suite
  • LDAP
  • NetSuite
  • Namely(ISVが構築)
  • Salesforce
  • SuccessFactors
  • UltiPro
  • Workday

プロファイルソースの有効化とユーザー属性のアップデート

同じアプリケーションで[Profile Source(プロファイルソース)]と[Update User Attributes(ユーザー属性のアップデート)]を有効にすると、[Okta to App(Oktaからアプリへ)]のプロファイルマッピングを最も優先度の高いプロファイルソースにプッシュすることができます。これは、メールアドレスや電話番号などの属性を、ダウンストリームのアプリケーションからプロファイルソースに同期させたい場合に有効です。ただし、プロファイルソースとして指定されたアプリがOktaからプロファイルのアップデートを受け取ることもできる場合、データが失われる可能性があります。

同じアプリで[Profile Source(プロファイルソース)]と[Update User Attributes(ユーザー属性のアップデート)]を有効にする前に、以下の点を考慮してください。

  • 不要なプロファイルのプッシュ - Oktaのアップデートでは、アプリが最優先のプロファイルソースであっても、アプリ内のマッピングされていない属性の値を上書きすることがあります。たとえば、Active DirectoryからOktacn属性がマッピングされておらず、Active Directoryに[Profile Source(プロファイルソース)]と[Update User Attributes(ユーザー属性のアップデート)]を設定している場合、Oktacnに対してデフォルトのマッピングを適用します。
  • IdPをソースとする属性の上書き -[Okta to app(Oktaからアプリへ)]のアップデートでは、別のIDソースをソースとする属性が上書きされることがあります。部分的なプッシュオプションはありません。
  • 競合状態 - Oktaでは、他のアップデートがOktaにプッシュバックされる前に、IDソースでアップデートされた属性を上書きすることができますたとえば、ユーザーの苗字と名前はディレクトリからOktaにインポートされ、ユーザーのメールアドレスはアプリからOktaにインポートされるというシナリオを考えてみましょう。アプリでメールアドレスのアップデートが行われる前に、ディレクトリでユーザーの苗字が変更された場合、Oktaはその新しい苗字と古いメールアドレスをプッシュする可能性があります。

受信インポートのルール

プロファイルソースを使用するには、新規にインポートされたユーザーと、現在のOktaユーザーのアップデートを明確に区別する必要があります。Oktaは一致ルールを使用して、プロファイルソースとOktaの間のリンクを維持し、競合を防ぎます。「プロビジョニングとデプロビジョニング」の「ユーザーの作成および照合」を参照してください。

プロファイルソーシングとユーザーのライフサイクル

アクセスのさまざまなサイクル(リソースへのアクセスの作成、アップデート、および削除)を通じたユーザーのIDのフローは、ユーザーのライフサイクルとして知られています。プロファイルソーサーは、このサイクルの開始または終了を決定することができ、プロビジョニングおよびインポートの領域で有効です。

ユーザーがスーパー管理者権限を持っている場合、インポートを介してユーザーを非アクティブ化することはできません。

「プロビジョニングとデプロビジョニング」を参照してください。