Anything-as-a-Sourceを使用する

Anything-as-a-Source(XaaS)を使用すると、信頼できるあらゆる情報源をOktaに統合して、信頼できる情報源を基にしたHR主導のプロビジョニングのメリットを実現できます。XaaSは、Oktaと信頼できる情報源間の同期条件を定義する柔軟性を顧客に提供します。また、一部のIDはOktaでの表記を必要とせず、XaaSは無関係のデータを除去して適切なIDのみを同期できます。

前提条件

  • Oktaプロファイルソーシング機能を利用できること。

  • 公開API、レポート、ファイル出力、あるいはその他の機構によってデータを抽出できる信頼できる情報源。

  • Anything-as-a-Source機能に関連するAPI呼び出しを行うAPIクライアント。このクライアントは、自動化プラットフォーム(Okta Workflowsなど)またはユーザー独自のカスタムホストされたコードの場合があります。

  • Okta APIを呼び出せるアクティブなAPIトークン。

  • Okta Workflowsを使用する場合は、Okta Workflowsプラットフォームを利用できること。

Anything-as-a-Source統合を構築する

Anything-as-a-Source統合の構築には、次の手順が含まれます。

  1. カスタムIDソースを作成・構成する

  2. カスタムIDソースを使用してデータを同期する

カスタムIDソースを作成・構成する

信頼できる情報源から得たデータを同期する前に、まずは以下の手順に従ってOkta orgに統合を作成する必要があります。

  1. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  2. [Browse App Catalog(アプリ・カタログを参照)]をクリックします。

  3. カスタムIDソースのカタログを検索します。このカタログを選択して[Add Integration(統合を追加)]をクリックします。

  4. 任意。新しい統合の名前を指定し、アプリをユーザーに表示するかどうかを指定します。

  5. [Done(完了)] をクリックします。

  6. [Provisioning(プロビジョニング)]タブに移動します。

  7. [Settings(設定)][Integration(統合)]を選択します。

  8. [Configure API Integration(API統合を構成)]をクリックし、[Enable API Integration(API統合を有効化)]を選択します。

  9. [Settings(設定)][To Okta(Oktaへ)]を選択します。

    この統合タイプでは[To App(アプリへ)]プロビジョニングはサポートされていないため、これらの設定は無視されます。

  10. 統合を構成します。例:

  • 新規ユーザーの確認を手動で行うかOktaが自動で行うかを構成する

  • 新規ユーザーと既存ユーザーが一致しているかどうかをOktaが判断する方法と、それを手動と自動のどちらで行うかを構成する

  • この統合をOktaのプロファイルソースとして指定する

インスタンスに関するURLのアイデンティティソースID(${identitySourceId}で参照されます)を検索できます。このIDについてはソースを構成する必要があり、次のURLではそれが強調されています。

IDソーススキーマを宣言する

統合のスキーマに属性を追加し、カスタムIDソースからOktaに送信されるデータを指定します。

  1. Admin Console[Directory(ディレクトリ)][Profile Editor(プロファイルエディター)]に移動します。

  2. カスタムIDソースをリスト表示された統合から見つけ出し、[Profile(プロファイル)]をクリックします。

  3. Oktaに同期する必要がある各属性(例:Oktaプロファイルの包含またはプロファイル・マッピングの使用)に関しては、次の手順を行ってください。

    1. [Add Attribute(属性を追加)]をクリックします。

    2. 属性のデータ型(例:enumまたはstring)を選択します。

    3. 新しい属性に関する表示名、変数名、(任意の)説明を入力します。Okta Expression Languageを受け付けます。

    4. 属性が必要かどうか、その範囲、または文字数制限など、関連するその他の制約を指定します。

    5. 追加する属性が他にもある場合、[Save and Add Another(保存してほかにも追加)]をクリックします。最後の属性を追加してから、[Save(保存)]をクリックします。

    6. [Profile Editor(プロファイルエディター)]ページの[Mappings(マッピング)]タブに移動します。[Configure User Mappings(ユーザーマッピングを構成)]をクリックします。

  4. 右側のOktaユーザーに対して左側のカスタムIDソース(appuser)属性からマッピングを作成します。

まだOktaユーザーのプロファイルを目的の属性を追加していない場合、「アプリ、ディレクトリ、IDプロバイダーにカスタム属性を追加する」を参照してください。

カスタムIDソースを使用してデータを同期する

この時点でIDソース統合をOkta orgに追加済みのため、信頼できる情報源から得たデータをOktaに対して同期することができます。このセクションでは、情報源からデータを抽出した後にXaaS APIを使ってこの同期を実行する方法について説明します。

API呼び出しを使用して照合済みのユーザーを削除すると、Universal Directoryでユーザーを非アクティブ化できます。未照合のユーザーは、Universal Directoryに表示されません。

APIトークンの作成

最初に、Okta Developerに概要が記載されている手順に従ってAPIトークンを作成します。また、APIクライアントで使用するためにこのトークンをコピーすることもできます。Okta WorkflowsをAPIクライアントとして使用している場合、Oktaコネクターが認証済みAPIトークンを利用できるため、この手順は不要です。

XaaSカスタム・クライアントを構築する

XaaSカスタム・クライアント構築方法の詳細については、Okta Developerのガイドを参照してください。

Okta Workflows

OktaコネクターおよびカスタムAPIアクションカードを使用することで、Okta Workflowsで任意のXaaS APIを呼び出すことができます(「カスタムAPIアクション(CAPIA)カード」を参照してください)。他の公開HTTPエンドポイントを呼び出すためにOkta Workflows APIコネクター(およびその他のコネクター)を使用できます。たとえば、データをHRシステムなど信頼できる情報源から直接取得するために、このコネクターを使用できます。