プロビジョニング

プロビジョニングには、ユーザーアカウント情報をユーザーストアとユーザーが日々アクセスする外部アプリとの間で同期するためにSCIMプロトコルを使用します。

プロビジョニングは、新しいユーザーやチームを設定する際の時間を節約し、ユーザーのライフサイクルを通じてアクセス権を管理するのに役立ちます。Oktaでは、新規または既存のユーザーのユーザーアカウント作成、参照、更新、非アクティブ化されたユーザーのアカウント削除、複数のユーザーストア間での属性同期を実行できます。

プロビジョニングとデプロビジョニングは双方向のアクションなので、外部アプリ内にアカウントを作成し、それをOktaにインポートすることも、Okta内にアカウントを作成して、それを統合された外部アプリにプッシュすることもできます。

プロビジョニングがサポートされている場合、外部クラウドとオンプレミスのアプリは、 Oktaのアップストリームでもダウンストリームでもプロビジョニングできます。アップストリームアプリとは、ユーザーデータを Oktaに送信するアプリです。ダウンストリームアプリとは、ユーザーデータを Oktaから受信するアプリです。

Okta Integration NetworkOIN)に事前構築されたアプリ統合が豊富に揃っており、外部クラウドベースおよびオンプレミスのアプリを使用したプロビジョニングの管理に活用できます。

メリット

Oktaを使用してユーザーアカウント情報をプロビジョニングすることで、Okta Universal Directoryの堅牢性と柔軟性、Oktaの連携認証方法のセキュリティを兼ね備えることができます。

  • アカウント管理:Oktaを使用して、ユーザー名、プロファイル、権限を作成して割り当てたり、ユーザーのアカウントを1つの企業ユーザーIDとパスワードにバインドすることができます。
  • ユーザーのインポート:Active Directory(AD)、Lightweight Directory Access Protocol(LDAP)、または特定の人事アプリからユーザーをインポートできます。一括でユーザーをインポートしたり、お使いのシステムに常に最新のアップデートが適用されるように、Oktaが定期的に信頼できる情報源からユーザープロファイルデータを引き出すように設定したりすることもできます。
  • ルールとワークフローの構成:特定のパスワードルールを必要とし、外部アプリからグループを同期およびインポートして、 Okta、AD、またはLDAPでユーザーを自動デプロビジョニングします。
  • レポート:レポートと監査証跡を生成し、効率性を維持するために変更が必要な場所を特定します。

シナリオ

Oktaでは、クラウドベースの環境でプロビジョニングを処理する方法をいくつか提供しています。

  • AD統合は軽量でオンプレミスのActive Directory統合を提供し、お使いのAD構成と同期させます。リアルタイムの同期とジャストインタイムプロビジョニングを設定することで、常に最新のユーザープロファイルを入手でき、スケジュール設定されたインポートを待つ必要はありません。
  • LDAP統合は、軽量エージェントを介して複数の主流LDAPベンダーとの統合を可能にします。LDAP統合は、ADエージェントと同様、リアルタイムの同期とJITプロビジョニングを提供します。
  • 人事主導のITは、外部人事アプリから自動化されたプロビジョニングを提供します(WorkdaySuccessFactorsUltiProBambooHRNamelyなど)。このタイプのプロビジョニングは、人事システムをユーザーが信頼する情報源として利用したい企業にとって有益です。Active Directoryはダウンストリームのプロビジョニングターゲットになります。この機能により、継続的にプロファイルが同期され、効率的なオンボーディングが可能になります。

デプロビジョニング

デプロビジョニングで、組織を離れるユーザーから機密性の高いアプリやコンテンツへのアクセスを削除することによって、orgのセキュリティプロファイルが強化されます。ユーザーをデプロビジョニングすると、そのユーザーがプロビジョニングされていたアプリ統合から自動的に削除されます。デプロビジョニングはセキュリティだけでなくコンプライアンスの面でも重要で、外部アプリの正確な使用数を維持するためにも役立ちます。

ユーザーのデプロビジョニングは、Okta内から直接行うことも、ADから行うこともできます。

機能をサポートしているアプリ統合の場合、ユーザーアカウントがデプロビジョニングされると、ユーザーのアクセスは自動的に削除されます。ユーザーを手動でデプロビジョニングする必要があるアプリ統合の場合、Okta管理者は手動でのユーザーのデプロビジョニングが必要なユーザーについて通知を受け取ります。

Orgは通常、デプロビジョニングされたユーザーアカウントを一定の期間、利用可能にしておくポリシーを定めています。これは、アカウントを復元する、またはデプロビジョニングされたアカウントから情報を取得する必要が生じた場合に役立ちます。

Oktaでユーザーから割り当てを削除(デプロビジョニング)しても、Oktaはそのユーザーのアカウントを削除しません。アカウントは外部アプリで非アクティブ化された状態になり、アプリ統合へのユーザーアクセスは Oktaから削除されます。一部の外部アプリは、外部アプリのユーザーアカウントの削除をサポートしている場合があります。

許可

スーパー管理者とアプリ管理者は、ユーザーをアプリ統合に割り当てることができます。

Oktaグループを使うと、個別のユーザーに割り当てるのに加え、ユーザーグループにアプリ統合をプロビジョニングできます。

アプリ統合を構成する Okta 管理者は、外部アプリを Oktaと接続するAPIプロビジョニングを認可するためのアプリ管理者権限が必要です。