プロビジョニングについて
プロビジョニングでは、SCIMプロトコルを使用して、ユーザーストアとユーザーが日々アクセスする外部アプリケーションの間でユーザーアカウント情報を同期させます。
プロビジョニングは、新しいユーザーやチームを設定する際の時間を節約し、ユーザーのライフサイクルを通じてアクセス権を管理するのに役立ちます。Oktaでは、新規または既存のユーザーのユーザーアカウント作成、参照、更新、非アクティブ化されたユーザーのアカウント削除、複数のユーザーストア間での属性同期を実行できます。
プロビジョニングとデプロビジョニングのアクションは双方向なので、外部アプリケーション内でアカウントを作成してOktaにインポートできます。または、Oktaでアカウントを作成してから統合された外部アプリケーションにプッシュすることもできます。
プロビジョニングがサポートされていれば、外部のクラウドやオンプレミスのアプリケーションをOktaのアップストリームでもダウンストリームでもプロビジョニングすることが可能です。アップストリームアプリケーションは、ユーザーデータをOktaに送信するアプリケーションです。ダウンストリームアプリケーションは、Oktaからユーザーデータを受信するアプリケーションです。
Okta Integration Network(OIN)には、外部のクラウドベースのアプリケーションやオンプレミスのアプリケーションとのプロビジョニングを管理する上で役立つ、事前に構築されたアプリ統合が何百もあります。
メリット
Oktaを使用してユーザーアカウント情報をプロビジョニングすることで、Okta Universal Directoryの堅牢性と柔軟性、Oktaの連携認証方法のセキュリティを兼ね備えることができます。
- アカウント管理:Oktaを使用して、ユーザー名、プロファイル、権限を作成して割り当てたり、ユーザーのアカウントを1つの企業ユーザーIDとパスワードにバインドすることができます。
- ユーザーのインポート:Active Directory(AD)、Lightweight Directory Access Protocol(LDAP)、または特定の人事アプリからユーザーをインポートできます。一括でユーザーをインポートしたり、お使いのシステムに常に最新のアップデートが適用されるように、Oktaが定期的に信頼できる情報源からユーザープロファイルデータを引き出すように設定したりすることもできます。
- ルールとワークフローの設定:特定のパスワードルールを要求したり、外部アプリケーションからグループを同期してインポートしたり、Okta、AD、LDAPのユーザーを自動的にデプロビジョニングしたりすることができます。
- レポート:レポートと監査証跡を生成し、効率性を維持するために変更が必要な場所を特定します。
シナリオ
Oktaでは、クラウドベースの環境でプロビジョニングを処理する方法をいくつか提供しています。
- AD統合は軽量でオンプレミスのActive Directory統合を提供し、お使いのAD構成と同期させます。リアルタイムの同期とジャストインタイムプロビジョニングを設定することで、常に最新のユーザープロファイルを入手でき、スケジュール設定されたインポートを待つ必要はありません。
- LDAP統合は、軽量エージェントを介して複数の主流LDAPベンダーとの統合を可能にします。LDAP統合は、ADエージェントと同様、リアルタイムの同期とJITプロビジョニングを提供します。
- 人事主導型ITは、外部の人事アプリケーション(例:Workday、 SuccessFactors、UltiPro、BambooHR、Namely)からの自動プロビジョニングを提供します。このタイプのプロビジョニングは、人事システムをユーザーが信頼する情報源として利用したい企業にとって有益です。Active Directoryはダウンストリームのプロビジョニングターゲットになります。この機能により、継続的にプロファイルが同期され、効率的なオンボーディングが可能になります。
デプロビジョニング
デプロビジョニング機能は、Organizationを離れた人が機密性の高いアプリケーションやコンテンツへにアクセスできないようにすることで、Organizationのセキュリティプロファイルを向上させます。ユーザーをデプロビジョニングすると、そのユーザーがプロビジョニングされていたアプリ統合から自動的に削除されます。セキュリティの面だけでなく、デプロビジョニングはコンプライアンス上の理由からも重要であり、外部アプリケーションの正確な使用数を維持するのに役立ちます。
ユーザーのデプロビジョニングは、Okta内から直接行うことも、ADから行うこともできます。
機能をサポートしているアプリ統合の場合、ユーザーアカウントがデプロビジョニングされると、ユーザーのアクセスは自動的に削除されます。ユーザーを手動でデプロビジョニングする必要があるアプリ統合の場合、Okta管理者は手動でのユーザーのデプロビジョニングが必要なユーザーについて通知を受け取ります。
Organizationには通常、デプロビジョニングされたユーザーアカウントを一定期間利用できるようにするポリシーがあります。これは、後からアカウントを復元する必要がある場合や、デプロビジョニングされたアカウントから情報を取得する必要がある場合に便利です。
Oktaでユーザーから割り当てを削除(デプロビジョニング)しても、Oktaはそのユーザーのアカウントを削除しません。外部アプリケーションでアカウントが非アクティブ化された状態になり、ユーザーのアプリ統合へのアクセスがOktaから削除されます。外部アプリケーションによっては、外部アプリケーションでのユーザーアカウントの削除が可能な場合があります。
許可
スーパー管理者とアプリ管理者はアプリ統合にユーザーを割り当てることができます。スーパー管理者はすべての権限を与えることができる役割です。
Oktaグループが利用されている場合、グループ管理者はユーザーまたはユーザーのグループをアプリ統合へとプロビジョニングできます。
アプリの統合を構成するOkta管理者は、外部アプリケーションとOktaを接続するAPIプロビジョニングを承認するためのアプリ管理者権限が必要です。