プロファイルソーシングについて

プロファイルソースとは、ユーザーの身元の信頼できる情報源として機能するアプリケーションのことです。アプリまたはディレクトリの[Provisioning(プロビジョニング)]タブから有効にすると、[Profile Sources(プロファイルソース)]ページのプロファイルソースリストに表示されます。外部のプロファイルソースが特定されていない場合、Oktaがすべてのプロファイルのソースとなります。

[Profile Sources(プロファイルソース)]ページに複数のプロファイルソースが列挙されている場合、優先順位をつけて、ユーザーのプロファイル属性がそれぞれ異なるシステムで割り当てに基づいてソーシングされるようにすることができます。ユーザーのプロファイルに対するプロファイルソースは、常に1つしか使用できません。

プロファイルソースは、ユーザーの全ライフサイクル(作成、アップデート、無効化)を管理するのに役立つ強力なツールです。たとえば、Workdayをプロファイルソースに使用し、ユーザーの作成、更新、終了の各イベントをWorkdayからOktaに送信できます。

ここでは、プロファイルソーシングが可能なアプリやディレクトリをいくつかご紹介します。

  • Active Directory
  • BambooHR
  • G Suite
  • LDAP
  • NetSuite
  • Namely(ISVが構築)
  • Salesforce
  • SuccessFactors
  • UltiPro
  • Workday

プロファイルソースの有効化とユーザー属性のアップデート

同じアプリケーションで[Profile Source(プロファイルソース)]と[Update User Attributes(ユーザー属性のアップデート)]を有効にすると、[Okta to App(Oktaからアプリへ)]のプロファイルマッピングを最も優先度の高いプロファイルソースにプッシュすることができます。これは、メールアドレスや電話番号などの属性を、ダウンストリームのアプリケーションからプロファイルソースに同期させたい場合に有効です。ただし、プロファイルソースとして指定されたアプリがOktaからプロファイルのアップデートを受け取ることもできる場合、データが失われる可能性があります。

同じアプリで[Profile Source(プロファイルソース)]と[Update User Attributes(ユーザー属性のアップデート)]を有効にする前に、以下の点を考慮してください。

  • 不要なプロファイルのプッシュ - Oktaのアップデートでは、アプリが最優先のプロファイルソースであっても、アプリ内のマッピングされていない属性の値を上書きすることがあります。たとえば、Active DirectoryからOktacn属性がマッピングされておらず、Active Directoryに[Profile Source(プロファイルソース)]と[Update User Attributes(ユーザー属性のアップデート)]を設定している場合、Oktacnに対してデフォルトのマッピングを適用します。
  • IdPをソースとする属性の上書き -[Okta to app(Oktaからアプリへ)]のアップデートでは、別のIDソースをソースとする属性が上書きされることがあります。部分的なプッシュオプションはありません。
  • 競合条件 - Oktaでは、他のアップデートがOktaにプッシュバックされる前に、IDソースでアップデートされた属性を上書きすることができますたとえば、ユーザーの苗字と名前はディレクトリからOktaにインポートされ、ユーザーのメールアドレスはアプリからOktaにインポートされるというシナリオを考えてみましょう。アプリでメールアドレスのアップデートが行われる前に、ディレクトリでユーザーの苗字が変更された場合、Oktaはその新しい苗字と古いメールアドレスをプッシュする可能性があります。

受信インポートのルール

プロファイルソースを使用するには、新規にインポートされたユーザーと、現在のOktaユーザーのアップデートを明確に区別する必要があります。Oktaは一致ルールを使用して、プロファイルソースとOktaの間のリンクを維持し、競合を防ぎます。「プロビジョニングとデプロビジョニング」の「ユーザーの作成・照合」を参照してください。

プロファイルソーシングとユーザーのライフサイクル

アクセスのさまざまなサイクル(リソースへのアクセスの作成・アップデート・削除)を通じたユーザーのIDのフローは、ユーザーのライフサイクルとして知られています。プロファイルソーサーは、このサイクルの開始または終了を決定することができ、プロビジョニングおよびインポートの領域で有効です。

スーパー管理者はインポート操作を介して非アクティブ化できません。

「プロビジョニングとデプロビジョニング」を参照してください。