SCIMアプリの統合
System for Cross-domain Identity Management(SCIM)標準を利用すると、外部アプリケーションとOkta Universal Directoryとの間でユーザーやグループの情報を管理できます。Oktaとの統合によってビジネスシステム間のユーザーアカウント、資格情報、権限の管理を合理化し、自動化することも可能です。管理者はクラウドに直接接続するかオンプレミス用のエージェントを使用して、SCIMアプリとの統合を構成できます。
相互に言い換えられる用語として使われることも多いSCIMとプロビジョニングですが、それぞれの意味には若干の違いがあります。プロビジョニングとはライフサイクル情報を交換するプロセス全体を指します。一方、SCIMとはその交換に使用される標準プロトコルです。
Oktaにおけるプロビジョニングとはワークフローであり、それをもっとも的確に表現できるのがCRUDオペレーション、つまりCreate、Read、Update、Deprovision(Deleteの代わり)です。
ユーザーのライフサイクルに影響するイベントが発生すると、上記のプロビジョニング機能がトリガーされてOktaと外部アプリケーションの両方でユーザーのレコードが変更されます。このようなイベントの例として、ポジションの変更とソフトウェアライセンスの期限切れの2つが挙げられます。
管理者はOkta Integration Network(OIN)カタログから、プロビジョニングを機能として使用するアプリ統合をフィルターを使って検索できます。SCIM対応アプリ統合が管理者によってorgに追加され、エンドユーザーに割り当てられると、Okta End-User Dashboardに新規アイコンとして表示されます。
SCIMの処理
- OktaはSCIMの変更を対象の外部アプリケーションに送信します。このリクエストでは、任意のCRUD操作でアプリケーション内のユーザーまたはグループのデータを変更できます。
- SCIM準拠のアプリ統合がOktaからのSCIMリクエストを受信して処理します。
- Oktaユーザーディレクトリに、更新されたユーザーのプロファイル情報が反映されます。
管理者はOkta Integration Network(OIN)の中からSCIM対応のアプリ統合を選択したり、カスタムアプリ統合を構成したりすることで、Oktaとクラウドアプリケーションとの間のプロビジョニングアクションを管理できます。次のアプリ統合を利用すると、利用環境をOktaに接続して、SCIMが提供するプロビジョニング機能を使用できます。
- パスワードの同期:パスワードを同期すれば、ユーザーのActive DirectoryパスワードとOktaパスワードとを確実に一致させることができます。詳しくは、「OktaのパスワードをActive Directoryに同期する」を参照してください。
- プロファイル属性のマッピング:プロビジョニングを有効にした後、任意のアプリケーションを「ソース」に設定してそのユーザープロファイルをOktaにインポートしたり、逆に「ターゲット」に設定してOktaから属性を送信したりすることができます。「属性マッピング」を参照してください。