プロファイル ソーシングについて
プロファイル ソースとは、ユーザーの身元の信頼できる情報源として機能するアプリケーションのことです。アプリまたはディレクトリの[Provisioning (プロビジョニング)]タブから有効にすると、[Profile Sources (プロファイル ソース)]ページのプロファイルソースリストに表示されます。外部のプロファイル ソースが特定されていない場合、Oktaがすべてのプロファイルのソースとなります。
[Profile Sources (プロファイル ソース)]ページに複数のプロファイルソースが列挙されている場合、優先順位をつけて、ユーザーのプロファイル属性がそれぞれ異なるシステムで割り当てに基づいてソーシングされるようにすることができます。ユーザーのプロファイルに対するプロファイル ソースは、常に1つしか使用できません。
プロファイル ソースは、ユーザーの全ライフサイクル(作成、アップデート、無効化)を管理するのに役立つ強力なツールです。例えば、Workdayをプロファイル ソースに使用し、ユーザーの作成、アップデート、終了の各イベントをWorkdayからOktaに送信できます。
ここでは、プロファイル ソーシングが可能なアプリやディレクトリをいくつかご紹介します。
- Active Directory
- BambooHR
- G Suite
- LDAP
- NetSuite
- Namely(ISVが構築)
- Salesforce
- SuccessFactors
- UltiPro
- Workday
プロファイル ソースの有効化とユーザー属性のアップデート
同じアプリケーションで[Profile Source (プロファイル ソース)]と[Update User Attributes (ユーザー属性のアップデート)]を有効にすると、[Okta to App (Oktaからアプリへ)]のプロファイルマッピングを最も優先度の高いプロファイルソースにプッシュすることができます。これは、メールアドレスや電話番号などの属性を、下流のアプリケーションからプロファイルソースに同期させたい場合に有効です。ただし、プロファイル ソースとして指定されたアプリがOktaからプロファイルのアップデートを受け取ることもできる場合、データが失われる可能性があります。
同じアプリで[Profile Source (プロファイル ソース)]と[Update User Attributes (ユーザー属性のアップデート)]を有効にする前に、以下の点を考慮してください。
- 不要なプロファイルのプッシュ - Oktaのアップデートでは、アプリが最優先のプロファイルソースであっても、アプリ内のマッピングされていない属性の値を上書きすることがあります。例えば、Active Directory から Okta に cn属性がマッピングされておらず、Active Directoryに[Profile Source (プロファイル ソース)]と[Update User Attributes (ユーザー属性のアップデート)]を設定している場合、Okta は cnに対してデフォルトのマッピングを適用します。
- IdPをソースとする属性の上書き - [Okta to app (Oktaからアプリへ)]のアップデートでは、別のIDソースをソースとする属性が上書きされることがあります。部分的なプッシュオプションはありません。
- 競合状態 - Oktaでは、他のアップデートがOktaにプッシュバックされる前に、IDソースでアップデートされた属性を上書きすることができます例えば、ユーザーの苗字と名前はディレクトリからOktaにインポートされ、ユーザーのメールアドレスはアプリからOktaにインポートされるというシナリオを考えてみましょう。アプリでメールアドレスのアップデートが行われる前に、ディレクトリでユーザーの苗字が変更された場合、Oktaはその新しい苗字と古いメールアドレスをプッシュする可能性があります。
受信インポートのルール
プロファイル ソースを使用するには、新規にインポートされたユーザーと、現在のOktaユーザーのアップデートを明確に区別する必要があります。Oktaは一致ルールを使用して、プロファイル ソースとOktaの間のリンクを維持し、競合を防ぎます。「プロビジョニングとデプロビジョニング」の「ユーザーの作成&および照合」を参照してください。
プロファイル ソーシングとユーザーのライフサイクル
アクセスのさまざまなサイクル(リソースへのアクセスの作成、アップデート、および削除)を通じたユー ザーのIDのフローは、ユーザーのライフサイクルとして知られています。プロファイル ソーサーは、このサイクルの始まりを決定することができ、プロビジョニングおよびインポートの領域で有効です。「プロビジョニングとデプロビジョニング」を参照してください。