アプリの統合のためのプロビジョニング構成
アプリの統合を設定し、Oktaと外部アプリケーションの間のユーザーのライフサイクルを管理します。このタスクは、新規または既存のアプリの統合にプロビジョニングを追加するたびに必要になります。
- プロビジョニング機能を持つアプリの統合をインストールします。「新しいプロビジョニングアプリ統合を展開するための一般的なワークフロー」または「プロビジョニングを既存のアプリ統合に追加するための一般的なワークフロー」を参照してください。
- Admin Consoleで、 に移動します。
- [Search(検索)]フィールドにアプリ統合名を入力します。
- 構成するアプリ統合の名前を選択し、[Provisioning(プロビジョニング)]タブをクリックします。
「構成ガイド」には、[Provisioning(プロビジョニング)]設定タブからアクセスできます。このガイドでは、外部アプリとOktaの間でプロビジョニングを設定するために必要な正確な設定の詳細を説明しています。
- [Confiure API Integration(API統合の構成)]をクリックします。
- [Enable API integration(API統合を有効化)]を選択します。
- 認証フィールドに入力します。以下のフィールドがあります。
[Username(ユーザー名)]:アプリ管理者のユーザー名を入力します。
[Password(パスワード)]:提供されたユーザーアカウントのパスワードを入力します。
[Token(トークン)]:外部アプリへのアクセスに使用するセキュリティトークンを入力します。
[Push Null Values(Null値をプッシュ)]:このオプションを選択すると、OktaにNull値を渡すことができます。
[Import Groups(インポートグループ)]:デフォルトで選択されています。Oktaからアプリグループを削除するには、チェックボックスの選択を外し、[Disable Import Groups(インポートグループの無効化)]ダイアログボックスで[Continue(続ける)]をクリックします。
- [Test API Credentials(API認証情報をテスト)]をクリックしてAPI認証をテストします。エラーが発生した場合は、認証情報を確認してやり直してください。
-
[Save(保存)]をクリックします。
- ページの[Settings(設定)]列で、[To App(アプリへ)]、[To Okta(Oktaへ)]、[API Integration(API統合)]の3つのプロビジョニング設定から選択します。利用できる設定の詳細については、「アプリへのプロビジョニングの構成設定」、「Oktaへのプロビジョニングの構成設定」、「API統合プロビジョニングの構成設定」を参照してください。
- [Edit(編集)]をクリックします。
- プロビジョニングオプションを選択し、[Save(保存)]をクリックします。
- 任意。下にスクロールして[Attributes Mappings(属性マッピング)]セクションに移動し、[Go to Profile Editor(プロファイルエディタに進む)]をクリックします。
エンタイトルメント管理を使用するアプリの統合は、検出を使用してOktaとダウンストリームアプリ間で属性を自動的にマッピングします。管理者はこれらの統合の属性をマッピングできません。「エンタイトル管理を備えたSCIMアプリの統合を作成する」を参照してください。
- [Mappings(マッピング)]をクリックし、[Okta User to app name(Oktaユーザーからアプリ名へ)]タブをクリックします。
- 属性を編集して[Save Mappings(マッピングの保存)]をクリックします。
- [Apply updates now(今すぐ更新を適用)]をクリックします。
アプリへのプロビジョニングの構成設定
このページには、Oktaから外部アプリに送られるすべての情報の設定が含まれています。以下のリストのすべての機能が、すべてのアプリの統合で利用できるわけではありません。
[Edit(編集)]をクリックして、以下のセクションの構成設定を変更します。
- [Create Users(ユーザーの作成)]:Oktaが管理する各ユーザーに新しい外部アプリケーションアカウントを割り当てます。Oktaは、Oktaで指定されたユーザー名がすでに外部アプリケーションに存在することを検出した場合、アカウントを作成しません。デフォルトでは、ユーザーのOktaユーザー名が割り当てられます。
- [Update User Attributes(ユーザー属性を更新)]:そのアプリ統合に割り当てられているユーザーのプロファイルを更新し、その変更をダウンストリームアプリと同期させます。外部アプリで行われたプロファイル変更は、それぞれのOktaプロファイル値で上書きされます。
- [Deactivate Users(ユーザーの非アクティブ化)]:ユーザーがOktaで割り当て解除された場合、またはOktaのアカウントが非アクティブ化されている場合に、ユーザーのアカウントを自動的に非アクティブ化します。また、アプリ統合がOktaでユーザーに再割り当てされた場合、Oktaは外部アプリケーションアカウントを再アクティブ化します。
- [Exclude Username Updates(ユーザー名の更新を除外)]:プロファイルプッシュ機能を使用するときに、ダウンストリームアプリプロファイルによってOktaユーザープロファイルが上書きされるのを防止します。
- [Sync Password(パスワードを同期)]:ユーザーの外部アプリパスワードが常にOktaパスワードと同じになるようにするか、Oktaがユーザーの一意のパスワードを生成できるようにします。詳しくは、「OktaのパスワードをActive Directoryに同期する」を参照してください。
- [Profile Attribute Mappings(プロファイル属性マッピング)]:ページのこの部分を使用して、Oktaアプリ統合とユーザープロファイルの属性とマッピングを編集します。「プロファイルを管理する」を参照してください。
ユーザープロファイルに加えて、Oktaは、ユーザーを作成するためのリクエストでランダムパスワードを送信します。
Oktaへのプロビジョニングの構成設定
このページには、外部アプリからOktaに送られるすべての情報の設定が含まれています。
[Edit(編集)]をクリックして、以下のセクションの構成設定を変更します。
- [General(一般)]:このセクションを使用して、インポートをスケジューリングし、インポートされたユーザーに使用するOktaのユーザー名の形式を指定します。インポートセーフガード機能が自動的にトリガーされる前に、受け入れ可能なアプリ統合割り当てのパーセンテージを定義することもできます。プロビジョニング対応アプリ統合からのマッピングが原因でOktaユーザー名が上書きされる場合、カスタムマッピングがこのセクションに表示されます。「インポートセーフガード」を参照してください。
- [User Creation & Matching(ユーザーの作成・照合)]:一致ルールは、インポートを許可するすべての外部アプリとディレクトリからユーザーをインポートするときに使用されます。一致基準を確立することで、インポートしたユーザーを新規ユーザーとして定義する方法や、既存のOktaユーザーにマッピングする方法を指定できます。
- [Imported user is an exact match to Okta user if(インポートされたユーザーは、次の場合にOktaユーザーに完全一致します)]:インポートしたユーザーが既存のOktaユーザーと完全に一致するかどうかを定める一致基準。オプションのリストから任意の組み合わせを選択して、基準を作成します。新しくインポートされたユーザーが完全一致と見なされるには、選択する各オプションがtrueである必要があります。3番目のオプションを選択した場合、1番目と2番目の選択肢は無効になります。
- [Allow partial matches(部分一致を許容)]:インポートされたユーザーの姓または名が既存のOktaユーザーと一致するが、ユーザーのユーザー名またはメールアドレスは一致しない場合、部分一致となります。
- [Confirm matched users(一致したユーザーを確認)]:既存のユーザーの確認またはアクティブ化を自動化する場合に選択します。このオプションが選択されていない場合、一致は手動で確認されます。
- [Confirm new users(新しいユーザーを確認)]:選択すると、新しくインポートされたユーザーの確認またはアクティブ化が自動化されます。このオプションを選択した場合、インポートの確認時にオフにすることができます。この機能はOktaにすでに存在するユーザーには適用されません。
- [Profile & Lifecycle Sourcing(プロファイルとライフサイクルのソーシング)]:このセクションを使用して、現在の外部アプリがOktaユーザーのプロファイルソースとして機能できるようにします。有効にすると、外部アプリがプロファイルソースページのプロファイルソースのリストに表示されます。「プロファイルソーシング」を参照してください。
- [Allow app to source Okta users(アプリがOktaユーザーをソースにすることを許可)]:ソーシングを有効にし、アプリ統合でユーザーが非アクティブ化または再アクティブ化されたときに発生するアクションを決定します。Oktaユーザーを非アクティブ化または一時停止できるのは、Oktaユーザーの中でも最も優先度の高いプロファイルソースのみです。最も優先度の高いプロファイルソースを確認するには、プロファイルソースページを確認します。「プロファイルソーシング」を参照してください。
- [When a user is deactivated in the app(ユーザーがアプリで非アクティブ化されている場合)]:外部アプリでのアクティビティがユーザーのライフサイクルを制御しないようにするには、[Do Nothing(何もしない)を選択します。このオプションにより、属性とマッピングのプロファイルソース制御が引き続き可能になります。これ以外の選択肢は、ユーザーの非アクティブ化または一時停止です。
- [When a user is reactivated in the app(ユーザーがアプリで再アクティブ化されている場合)]:外部アプリで再アクティブ化されたときに、一時停止または非アクティブ化されたOktaユーザーを再度有効にする必要があるかどうかを決定します。
外部アプリでユーザーが再アクティブ化された場合、Oktaでも再アクティブ化が起こるようにするにはユーザープロファイルがOktaのプロファイルと完全に一致する必要があります。プロファイルが完全一致していない場合、再アクティブ化されたユーザーをインポートすると、ユーザーは[Pending Activation(アクティベーション保留中)]状態になります。
- [Import Safeguards(インポートセーフガード)]:インポートセーフガード設定は、インポートの続行を許可されている間、割り当てを解除できるorg内のユーザーの最大パーセンテージを定義します。アプリレベルと組織レベルのセーフガードはデフォルトで有効になっており、20%に設定されています。「インポートセーフガード」を参照してください。
- [Inline Hooks(インラインフック)]このセクションを使用して、外部アプリからOktaに新規ユーザーをインポートするプロセスに対してカスタムロジックを追加できます。プロファイル属性内の不整合を解決し、インポートされたユーザーが既存ユーザーとの一致として扱われるかどうかを制御できます。インポートのインラインフックを有効にするには、「インラインフック」を参照してください。
- [Okta Attribute Mappings(Okta属性マッピング)]:ページのこの部分を使用して、Oktaアプリ統合とユーザープロファイルの属性とマッピングを編集します。「プロファイルを管理する」を参照してください。
API統合プロビジョニングの構成設定
外部アプリの中には、APIに対して認証を行うためにトークンを必要とするものがあります。[Authenticate with App Name(アプリ名で認証)]をクリックするとトークンが生成されます。外部アプリにリダイレクトされるので、そこで認証を行ってトークンを取得する必要があります。
一部の外部アプリのAPIエンドポイントでは、APIが設定されると、アプリのグループがOktaにインポートされる場合があります。これは予想される動作です。