プロビジョニングされたユーザーの追加について
Oktaでユーザーを追加すると、Okta Universal Directoryにそのユーザーのユーザーアカウント(ユーザープロファイル)が作成されます。Okta Universal Directoryは、すべてのOktaユーザーのためのユーザーストアです。
ユーザーアカウントは通常、外部のアプリケーションにすでに存在しています。プロビジョニング時に、外部のアプリケーションの既存のユーザーアカウントがOktaのユーザーアカウントと一致する場合、Oktaのアカウントと外部アプリケーションのアカウントを一致させ、リンクさせることができます。
ユーザーの管理方法は、ユーザーデータがOktaにどのように追加されるかによって決まります。ユーザープロファイルの作成には3つの方法があります。
ユーザープロファイルの手動作成
Oktaで手動で作成されたユーザーは、Okta Universal Directoryをこれらのユーザーの単一の信頼できる情報源として使用します。
Oktaアプリの統合でプロビジョニングが設定されると、Oktaはユーザー情報を外部アプリケーションにプッシュし、その結果として、外部アプリケーション内にユーザーアカウントが作成されます。
その後、Oktaでユーザーアカウント情報が更新されると、その情報はユーザーアカウントがアップデートされた外部アプリケーションにプッシュされます。
たとえば、プロビジョニングするためにSalesforceと統合した場合、Oktaで作成されたユーザーはSalesforceアプリケーションにプッシュされますが、Oktaで管理されます。Oktaで行われたアップデートや終了は、Salesforce(またはプロビジョニングフローの一環となるその他の外部アプリケーション)に自動的に反映されます。これらのダウンストリーム接続は、単一の信頼できる情報源が1つであるため、複数のアップストリームプロファイルからのユーザープロファイル情報に矛盾があっても問題ありません。
ディレクトリサービスやアプリからユーザープロファイルをインポート
ユーザーデータは、以下からOktaにインポートすることができます。
- Active Directory(AD)やLightweight Directory Access Protocol(LDAP)などのディレクトリサービス「Active Directoryユーザーとグループを管理する」を参照してください。
- Workdayなどの人事アプリケーションWorkdayを参照してください。
- Salesforceなどの顧客関係管理(CRM)アプリケーション。「Salesforceプロビジョニングの有効化」を参照してください。
- Microsoft Office 365などのアプリケーションスイート。「ユーザーをOffice 365にプロビジョニングする」を参照してください。
ユーザーデータをインポートするには、以下のいずれかの統合戦略を使用します。
- ADまたはLDAP統合
- アプリケーション統合
- JITプロビジョニング
Okta Active Directory(AD)Agentまたは Okta LDAP Agentを使用して、Oktaとディレクトリインスタンスの間でユーザーデータを同期させます。リアルタイム同期やジャストインタイム(JIT)プロビジョニングを設定することで、スケジュール設定されたインポートを待つことなくユーザープロファイルを最新に保つことができます。
SalesforceやWorkdayなどの外部アプリケーションとの統合は、その外部アプリケーションをユーザーデータの単一の信頼できる情報源にしたい場合に有益です。ADはダウンストリームのプロビジョニングターゲットになります。この機能により、継続的にプロファイルが同期され、効率的なオンボーディングが可能になります。
ユーザーアカウントは、ユーザーがAD委任認証、デスクトップSSO、またはインバウンドSAMLで初めて認証されたときに、Oktaで自動的に作成されます。
ディレクトリサービスや外部アプリケーションで作成されたユーザーはOktaにプッシュされ、新しいAppUserオブジェクトが作成され、既存のOktaユーザーアカウントに対して照合させたり、新しいOktaユーザーアカウントを作成したりします。
ユーザースキーマのインポート機能(スキーマ検出)を使って、Salesforceなどのアプリケーションから追加のユーザー属性をインポートすることができます。
プロファイルソーシング
プロファイルソーシングは、ユーザーデータをインポートするための洗練されたプロセスであり、外部のアプリケーションやディレクトリを、ユーザー属性情報とそのライフサイクルの状態の信頼できる情報源とします。ユーザープロファイルが外部のアプリケーションやディレクトリからソーシングされた場合、Oktaユーザープロファイルの属性とライフサイクルの状態は、そのリソースからのみ取得されます。外部のアプリケーションやディレクトリをソースとするOktaユーザーはOktaプロファイルを持っていますが、そのプロファイルはOktaで編集できません。外部アプリケーションやディレクトリのユーザープロファイルが無効化されている場合、リンクされているOktaユーザープロファイルは、次回のインポート時にライフサイクルの状態が「非アクティブ」に移行します。
CSVファイルからユーザーをインポート
ユーザー情報をCSVファイルからインポートし、Oktaで管理します。ユーザープロファイルの変更はすべて外部アプリケーションにプッシュされます。
他のOktaユーザープロファイルと同様に、役職変更、アプリライセンスの期限切れ、雇用の終了などのライフサイクルの変更があると、ユーザーのライフサイクル状態を更新する自動プロビジョニング機能がトリガーされます。