Okta Org2OrgをOktaと統合する
Okta Org2Orgの統合を使用して、ソースOkta orgからターゲットorgにユーザーを認証し、任意でプロビジョニングできます。この統合はソースorgでインストールおよび構成されます。Okta Org2Orgを使用して複数のソースorgを1つのOktaターゲットorgに接続できます。この統合によって、ユーザーをソースorgからターゲットorgにプッシュできるようになります。
Org2Orgアプリのプロビジョニング機能を利用する場合、OAuth 2.0またはAPIトークンを使用してorg間の接続を保護できます。
Org2Orgが使用される一般的なシナリオは、ハブアンドスポークモデルです。これらのシナリオでは、スポークorgがソースorgであり、ハブorgがターゲットorgです。
注:
Org2Org統合は、Okta Integrator無料プランorgでは使用できません。Okta Integrator無料プランorgでこの機能をテストする必要がある場合は、Oktaアカウントチームにお問い合わせください。
タスク
- OIDCを使用してorg間のフェデレーションを構成する(推奨)
- SAMLを使用してorg間のフェデレーションを構成する
- プロビジョニングにOAuth 2.0を使用する(自動キーローテーション)
- プロビジョニングにOAuth 2.0を使用する(手動キー構成)
- APIトークンを使用したプロビジョニング
- Org2Org構成をテストする
- ソースorgユーザー向けのブックマークアプリを作成する
OIDCを使用してorg間のフェデレーションを構成する(推奨)
OIDCを使用して2つのOkta org間のフェデレーションを構成するには、最初にOrg2Org統合をソース(スポーク)orgに追加してから、ターゲット(ハブ)orgでOIDC IDプロバイダーをセットアップします。
ソースorgにOrg2Org統合を追加する
- ソースorgでAdmin Consoleを開き、に移動します。
- アプリカタログを参照(Browse App Catalog)をクリックします。
- Okta Org2Orgアプリを検索して選択します。
- 統合を追加(Add Integration)をクリックします。
- 一般設定(General Settings)ページで、以下のフィールドに入力します。
- アプリケーションラベル(Application Label):ソースアプリの名前を追加します(例:
Okta spoke org)。 - ベースURL(Base Url):ターゲット(ハブ)orgのOktaドメイン名を追加します(例:
https://your-hub-domain.okta.com)。 - アプリケーションの可視性(Application Visibility):ソースorgのEnd-User DashboardにOrg2Orgアプリを表示したくない場合は、このチェックボックスを選択します。必要に応じて、後ほど変更できます。
- ブラウザープラグインの自動送信(Browser plugin auto-submit):機能を有効にするには、このチェックボックスを選択します。
- アプリケーションラベル(Application Label):ソースアプリの名前を追加します(例:
- 次へ(Next)をクリックします。
- OpenID Connectのサインオンオプションを選択してから、完了(Done)をクリックします。
ターゲットorgでOIDC IdPをセットアップする
- ターゲットorgでAdmin Consoleを開き、に移動します。
- IDプロバイダーを追加(Add Identity Provider)(Add identity provider)をクリックします。
- Okta Integration IdPをクリックし、次へ(Next)をクリックします
- 一般設定(General settings)に、IdPの名前を入力します。
- Okta IdP Org URLフィールドに、ソース(スポーク)orgのベースURLを入力します。たとえば、
https://your_spoke_domain.okta.comです。 - クライアントの詳細(Client details)セクションに、Org2OrgアプリのクライアントIDを入力します。クライアントIDは、ソースorgのアプリリストから特定できます。
- 認証設定(Authentication Settings)セクションで、デフォルト設定を使用します。これらの構成について詳しくは「Okta IDプロバイダーを追加する」をご覧ください。
- 終了(Finish)をクリックします。
- Okta Integration IdPの要約で、IdP ID、URLを承認(Authorize URL)、リダイレクトURI(Redirect URI) の値をコピーし、安全な場所に保管します。
ソースorgでOrg2Org OIDC構成を完了する
- ソースorgでAdmin Consoleを開き、に移動します。
- Okta Org2Orgアプリを選択します。
- 認証(Authentication) タブで、サインオン設定(Sign-on settings)(Edit) セクションの編集(Edit)(Sign-on settings)をクリックします。
- 高度なサインオン設定(Advanced Sign-on Settings)で、先ほどコピーしておいたIdP IDをターゲットOrg IdP ID(Target Org IdP ID)フィールドに貼り付けます。
- 保存(Save)をクリックします。
- 任意。推奨(OAuth 2.0)またはAPIトークンを使用した、ソースorgからターゲットorgへのプロビジョニングを有効にします。
SAMLを使用してorg間のフェデレーションを構成する
SAMLを使用して2つのOkta org間のフェデレーションを構成するには、最初にOrg2Org統合をソース(スポーク)orgに追加してから、ターゲット(ハブ)orgでSAML IDプロバイダーをセットアップします。
ソースorgにOrg2Org統合を追加する
- ソースorgでAdmin Consoleを開き、に移動します。
- アプリカタログを参照(Browse App Catalog)をクリックします。
- 検索(Search)フィールドに
Org2Orgと入力し、Okta Org2Orgを選択します。 - 統合を追加(Add Integration)をクリックします。
- 一般設定(General Settings)タブで、以下のフィールドに入力します。
- アプリケーションラベル(Application label):ソースorgの名前(例:
Okta spoke org)。 - ベースURL(Base URL):ターゲット(ハブ)orgのドメインURL (例:
https://your-hub-org.okta.com)。 - アプリケーションの可視性(Application visibility):ソースorgのEnd-User DashboardにOrg2Orgアプリを表示したくない場合は、このチェックボックスを選択します。必要に応じて、後ほど変更できます。
- ブラウザープラグインの自動送信(Browser plugin auto-submit):この設定はオフのままにします。
- アプリケーションラベル(Application label):ソースorgの名前(例:
- 次へ(Next)をクリックします。
- SAML 2.0サインオンオプションを選択します。
- 完了(Done)をクリックします。
- Org2Orgアプリを開き、認証(Authentication)タブに移動します。
- SAMLのセットアップ手順を表示(View SAML setup Instructions)(View SAML setup instructions)をクリックします。org固有の手順を使用して、ターゲットorgでSAML IdPを作成してOrg2Orgアプリと連携させます。
ターゲットorgでSAML IdPをセットアップする
- ターゲットorgでAdmin Consoleを開き、に移動します。
- IDプロバイダーを追加(Add Identity Provider)(Add identity provider)をクリックします。
- SAML 2.0 IdPを選択し、次へ(Next)をクリックします。
- 一般設定(General settings)に、IdPの名前を入力します。
- IdPユーザー名とのアカウント照合(Account matching with IdP Username)で、
idpuser.subjectNameIdを選択し、ユーザー名が含まれるSAMLアサーションでエンティティを参照します。 - SAMLプロトコル設定(SAML Protocol Settings)で、IdP発行者URI(IdP Issuer URI)、IdPシングルサインオンURL(IdP Single Sign-On URL)、IdP署名証明書(IdP Signature Certificate)のフィールドを、先ほどコピーした値で更新します。
ソースorgでOrg2Org SAMLの構成を完了する
- ソースorgでAdmin Consoleを開き、に移動します。
- Org2Orgアプリを選択します。
- 認証(Authentication)タブで、サインオン設定(Sign-on settings)(Edit)セクションの編集(Edit)(Sign-on settings)をクリックします。
- 高度なサインオン設定(Advanced Sign-on Settings)で、ハブACS URI(Hub ACS Url)とオーディエンスURI(Audience URI)のフィールドを、ターゲットorgの値からコピーした値で更新します。
- 保存(Save)(Save.)をクリックします。
- 任意。推奨(OAuth 2.0)またはAPIトークンを使用した、ソースorgからターゲットorgへのプロビジョニングを有効にします。
ソースからターゲットへのプロビジョニングを有効にする
プロビジョニングは必要だが、ユーザー、ユーザープロファイル属性、グループのリアルタイム同期は不要な場合、ターゲットorgに手動でソースorgユーザーを作成してください。
- ソースorgで、アクティブユーザーのリストをエクスポートします。Admin Consoleで、レポート(Reports)に移動し、Oktaパスワードの健全性(Okta Password Health)をクリックします。レポートが生成され、メールアドレスに送信されます。レポートをダウンロードすることもできます。CSVファイルを開いて、ステータス(Status)列でフィルタリングしてアクティブユーザーを確認します。
- ターゲットorgでCSVファイルからユーザーをインポートします。ソースorgのグループ、アクセスが必要なアプリのすべてのグループにユーザーを割り当てます。
- ソースorg用に構成されたIdpに、新しく作成されたユーザーを手動でリンクします。
ユーザーのプロビジョニングおよびリアルタイム同期が必要な場合、次のいずれかの方法を選択します。
OAuthメソッドでは、APIトークンを使用してアプリのOAuth 2.0プロビジョニングを有効化しますが、その後はトークンは使用されません。OAuth 2.0アプローチは、プロビジョニングにAPIトークン方式を使用するよりも安全で、より細かい権限設定が可能です。
プロビジョニングにOAuth 2.0を使用する(自動キーローテーション)
この方法により、キーが自動的にローテーションされ、手動でキーを管理する必要がなくなります。
注:
Oktaでは、OAuth 2.0のプロビジョニングにこの方法を使用することを推奨しています。
- ソースorgでAdmin Consoleを開き、に移動します。
- Org2Orgアプリを開きます。
- プロビジョニング(Provisioning)タブに移動し、設定(Settings)(Integration)メニューの下の統合(Integration)(Settings)を選択します。
- API統合の構成(Confiure API Integration)(Configure API Integration)をクリックします。
- API統合を有効化(Enable API integration)チェックボックスを選択し、保存(Save)をクリックします。
- 認証スキーム(Authentication Scheme)を
OAUTH Auto-Rotation (recommended)(OAUTH自動ローテーション(推奨))に設定します。 - クライアント公開鍵のURL(Client Public Key URL)(Copy)の横にあるコピー(Copy)(Client Public Key URL)ボタンをクリックします。
- ターゲットorgでAdmin Consoleを開き、に移動します。
- アプリ統合を作成(Create App Integration) をクリックします。
- APIサービス(API Services)を選択して次へ(Next)をクリックします。
- アプリ統合名を入力し、保存(Save)をクリックします。
- 一般(General)タブでクライアントの資格情報(Client Credentials)セクションに移動し、編集(Edit)をクリックします。
- クライアント認証(Client authentication)を
Public key / Private keyに設定します。 - 構成(Configuration)をUse a URL to fetch keys dynamically(URLを使用してキーを動的に取得)に設定します。
- 手順1のクライアント公開鍵のURLをURLフィールドに貼り付けて、保存(Save)をクリックします。
- 管理者ロール(Admin roles)タブに移動して、割り当てを編集(Edit assignments)をクリックします。
- ロール(Role)ドロップダウンメニューから、ユーザー(および必要に応じてグループ)を管理する権限を持つ管理者ロールを選択し、Org2Orgアプリに割り当てます。詳細については、「管理者をセットアップする」および「OAuth 2.0でorg間のAPI接続を保護する」を参照してください。
- 変更を保存(Save Changes)をクリックします。
- Okta APIスコープ(Okta API Scopes)タブで、okta.users.manageスコープとokta.groups.manageスコープに付与します。okta.users.manage スコープでは、アプリでユーザープロファイルと資格情報を作成して管理でき、okta.groups.manage スコープでは、アプリでorg内のグループを管理できます。
- 一般(General)タブで一般設定(General Settings)セクションに移動して、編集(Edit)をクリックします。
- Require Demonstrating Proof of Possession (DPoP) header in token requests(トークンリクエストのDPoP(Demonstrating Proof of Possession)ヘッダーを必須にする)チェックボックスを選択して、保存(Save)をクリックします。
- 一般(General)タブでクライアントの資格情報(Client Credentials)セクションに移動して、クライアントID(Client ID)をコピーします。
- ソースorgで、ターゲットorgのクライアントID(Target Org Client ID)フィールドにクライアントIDを貼り付け、保存(Save)をクリックします。
- 任意。API資格情報をテスト(Test API Credentials)をクリックして、ターゲットorgが正常に検証されていることを確認します。
- ソースorgで、Org2Org用のプロビジョニング設定を構成します。
- Admin Consoleで、に移動します。
- Org2Orgアプリを開きます。
- プロビジョニング(Provisioning)タブで、Okta Org2Orgの属性マッピング(Okta Org2Org Attribute Mappings)セクションに移動し、
initialStatus属性を見つけます。編集(Edit)をクリックします。 - 希望する設定を選択し、保存(Save)をクリックします。
- 任意。Org2Orgプロビジョニングをテストします。
- アプリにプロビジョニング(Provisioning to App)セクションで編集(Edit)をクリックします。
- ユーザーの作成(Create Users)、ユーザーの更新(Update Users)、ユーザーの非アクティブ化(Deactivate Users)を選択し、保存(Save)をクリックします。
- グループにアプリを割り当てます。割り当て(Assignments)タブでをクリックし、グループを選択して保存して戻る(Save and Go Back)をクリックします。完了(Done)をクリックします。構成済みグループに属するユーザーを一覧表示するには、ユーザー別で割り当てをフィルタリングします。
- ターゲットorgのAdmin Consoleに移動します。に移動して、ソースorgでOrg2Orgアプリに割り当てられたユーザーがプロビジョニングされていることを確認します。
プロビジョニングにOAuth 2.0を使用する(手動キー構成)
org間のOAuth 2.0プロビジョニングを有効にするには、Okta APIとAdmin Consoleを連携する必要があります。
- ソースorgでAdmin Consoleを開き、に移動します。
- Org2Orgアプリを開きます。
- URLからアプリIDをコピーします。たとえば、URLが
<sourceorg>/admin/app/okta_org2org/instance/0oa78guhzaGH4KHZt1d7/#tab-importの場合、IDは0oa78guhzaGH4KHZt1d7です。
- 前の手順でコピーしたアプリIDを渡し、Org2Orgアプリのキー資格情報を一覧表示します。
- ターゲットorgでAPIサービス統合を追加します。前の手順で取得したキーの資格情報を
jwksオブジェクトのkeysエントリとして使用します。 - ターゲットorgでAdmin Consoleを開き、に移動します。OAuth 2.0サービスアプリを開きます。
- 管理者ロール(Admin roles)タブで割り当てを編集(Edit assignments)をクリックします。
- +割り当てを追加(+ Add assignment)をクリックし、ロール(Role)(Group Administrator)ドロップダウンリストでグループ管理者(Group Administrator)(Role)を選択します。
- 変更を保存(Save Changes)をクリックします。
- APIスコープに同意を付与して、サービスアプリでユーザーを作成してユーザープロファイルと資格情報を管理できるようにします。
- ターゲットorgでAdmin Consoleを開き、に移動します。OAuth 2.0サービスアプリを開きます。
- OktaAPIスコープ(API Scopes) タブで、
okta.groups.manageスコープとokta.users.manageスコープを付与します。
- 任意。プロビジョニングを有効にして、アカウントの作成、更新、非アクティブ化を自動化します。
- ターゲットorgでAdmin Consoleを開き、に移動します。OAuth 2.0サービスアプリを開き、一般(General) タブでクライアントIDをコピーします。
- ソースorgで、Okta APIを使用してOAuth 2.0ベースのプロビジョニングを有効にします。
- ソースorgで、Org2Org用のプロビジョニング設定を構成します。
- Admin Consoleで、に移動します。
- Org2Orgアプリを開きます。
- プロビジョニング(Provisioning)タブで、Okta Org2Orgの属性マッピング(Okta Org2Org Attribute Mappings)セクションに移動し、
initialStatus属性を見つけます。編集(Edit)をクリックします。 - 希望する設定を選択し、保存(Save)をクリックします。
- 任意。Org2Orgプロビジョニングをテストします。
- アプリにプロビジョニング(Provisioning to App)セクションで編集(Edit)をクリックします。
- ユーザーの作成(Create Users)、ユーザーの更新(Update Users)、ユーザーの非アクティブ化(Deactivate Users)を選択し、保存(Save)をクリックします。
- グループにアプリを割り当てます。割り当て(Assignments)タブでをクリックし、グループを選択して保存して戻る(Save and Go Back)をクリックします。完了(Done)をクリックします。構成済みグループに属するユーザーを一覧表示するには、ユーザー別で割り当てをフィルタリングします。
- ターゲットorgのAdmin Consoleに移動します。に移動して、ソースorgでOrg2Orgアプリに割り当てられたユーザーがプロビジョニングされていることを確認します。
APIトークンを使用したプロビジョニング
- OktaターゲットorgでAPIトークンを作成します。
-
Admin Consoleで、に移動します。
- トークン(Tokens)タブをクリックしてトークンの作成(Create Token)(Create token)をクリックします。
- トークン名としてわかりやすい名前を入力して、トークンを作成(Create Token)(Create token)をクリックします。
- トークンの値をクリップボードまたはテキストエディターにコピーします。
- OK、了解(OK, got it)をクリックします。
-
- ソースorgでAdmin Consoleを開き、に移動します。
- アプリのリストからOkta Org2Orgを選択します。
- プロビジョニング(Provisioning)タブを選択し、API統合を構成(Configure API Integration)をクリックしてAPI統合を有効化(Enable API Integration)(Enable API integration)を選択します。
- 認証スキーム(Authentication Scheme)メニューから
TOKENを選択します。 - 以下のフィールドに入力します。
- セキュリティトークン(Security token):事前にコピーしたセキュリティトークンを貼り付けます。
- メールよりユーザー名を優先(Prefer Username Over Email):任意。メールアドレスをユーザー名として使用したくない場合にこのオプションを選択します。
- グループのインポート(Import Groups):任意。接続したorgからグループをインポートしたくない場合はこのチェックボックスをオフにします。
- 任意。API資格情報をテスト(Test API Credentials)をクリックしてAPI統合をテストします。
- 保存(Save)をクリックします。
-
任意。Oktaターゲットorgからソースorgへプロビジョニング設定を変更します。
- プロビジョニング(Provisioning)タブをクリックし、設定(Settings)(To App)でアプリへ(To App)(Settings)を選択します。
- 編集(Edit)をクリックします。
- ユーザーを作成(Create Users)、ユーザー属性を更新(Update User Attributes)、ユーザーを非アクティブ化(Deactivate Users)、またはパスワードを同期化(Sync Password)チェックボックスを選択します。
- 保存(Save)をクリックします。
- 任意。ソースorgからターゲットOkta orgへのプロビジョニング設定を変更します。
- プロビジョニング(Provisioning)タブをクリックし、設定(Settings)(To Okta)でOktaへ(To Okta)(Settings)を選択します。
- 一般(General)、ーザーの作成と一致(User Creation & Matching)、プロファイルおよびライフサイクルソーシング(Profile & Lifecycle Sourcing)、またはインポートセーフガード(Import Safeguard)エリアで編集(Edit)をクリックして設定を編集します。
プロファイルおよびライフサイクルソーシング(Profile & Lifecycle Sourcing)エリアのOkta Org2OrgにOktaユーザーのソーシングを許可(Allow Okta Org2Org to source Okta users)を選択すると、ソースorgがユーザープロファイルデータのソースとなります。Oktaユーザーをターゲットorgにインポートすると、ソースorgのユーザープロパティに加えられた変更が、そのユーザーが割り当てられているほかのアプリにも適用されます。
- 保存(Save)をクリックします。
- 初期ステータス(
initialStatus)用にオプションを選択します。この属性は接続orgのユーザーが作成、リンク、または再アクティブ化されたときの、ユーザーのステータスを定義します。active_with_passまたはpending_with passを選択した場合、ユーザー向けに一時パスワードが作成されます。Oktaパスワード同期([Okta Password Sync)]を有効にした場合、ユーザーがサインインしたときにユーザーの一時パスワードは上書きされます。active_with_passが選択され、Okta Password Syncが有効でない場合、ユーザーは仮パスワードで作成されます。初期ステータスにおける属性の値(Attribute value)の最も一般的な構成は、 すべてのユーザーで同一の値(Same value for all users)およびactive_with_passです。編集(Edit)をクリックします。希望する設定を選択し、保存(Save)をクリックします。
- 任意。新しいOktaグループを接続orgにプッシュします。グループプッシュを管理するを参照してください。
Org2Org構成をテストする
org間のフェデレーションとプロビジョニングをセットアップしたら、構成をテストします。
ソースorgのユーザーをOrg2Orgアプリに割り当てる
-
Admin Consoleで、に移動します。
- Org2Orgアプリを選択します。
- 割り当て(Assignments)タブに移動してを選択します。
- 適切なユーザーを選択し、割り当て(Assign)をクリックします。
- 保存して戻る(Save and Go Back)、完了(Done)を順にクリックします。
- ターゲットorgに移動し、に移動します。アプリを割り当てたユーザーを検索し、ターゲットorgにプロビジョニングされていることを確認します。
ソースorgのグループをOrg2Orgアプリにプッシュする
-
Admin Consoleで、に移動します。
- Org2Orgアプリを選択します。
- グループをプッシュ(Push Groups)タブに移動します。
- を選択します。
- ターゲットorgにプッシュするグループを選択します。
- 保存(Save)をクリックします。グループがターゲットorgにプロビジョニングされています。
- ハブorgに移動し、を選択します。グループユーザーが以前にプロビジョニングされている場合は、そのユーザーがグループに表示されます。
ソースorgユーザー向けのブックマークアプリを作成する
ソースorgのユーザーがターゲットorgのリソースにサインインするためのブックマークアプリを作成できます。ターゲットorgユーザーにOrg2Orgアプリのアイコンを非表示にすることもできます。
- ターゲットorgでに移動します。
- ソースorgのユーザーに付与するアプリを選択します。
- 1人以上のソースorgユーザーにアプリを割り当てます。
- 一般(General)タブのアプリの埋め込みリンク(App Embed Link)セクションで埋め込みリンク(Embed Link)(App Embed Link)の値をコピーします。
- ソースorgでブックマークアプリ統合を作成します。
- 次の値を連結してブックマークアプリのURLを作成します。
- IdPのシングルサインオンURL(IdP Single Sign On URL) (例:
https://sourceorg.okta.com/app/okta_org2org/app_ext_id/sso/saml) -
?RelayState= - アプリの埋め込みリンク(Embed Link)値(例:
https://targetorg.okta/home/app_name/instance_id/app_id)。例えば、前の値を連結した場合、ブックマークURLはhttps://sourceorg.okta.com/app/okta_org2org/app_ext_id/sso/saml?RelayState=https://targetorg.okta/home/app_name/org_id/app_idになります。
- IdPのシングルサインオンURL(IdP Single Sign On URL) (例:
- ソースorgでユーザーにブックマークアプリを割り当てます。
- ソースorgに移動し、割り当てられたユーザーとしてサインインします。