オンプレミスプロビジョニング
クラウドベースのプロビジョニングと同様に、オンプレミスプロビジョニングでは、SCIMプロトコルを使用して、ユーザーストアとユーザーが日々使用するアプリの間でユーザーアカウント情報を同期させます。
オンプレミスプロビジョニングでは、SCIM 1.1仕様のみがサポートされます。
アーキテクチャ
オンプレミスプロビジョニングのアーキテクチャは、Okta、Okta Provisioning Agent、SCIMサーバーまたはカスタムコネクター、オンプレミスアプリケーションなどのコンポーネントで構成されます。図に示すように、Oktaを除くすべてのコンポーネントは、ファイアウォールの内側にあります。
前提条件
Oktaのオンプレミスプロビジョニングを実装するには、以下のが必要です。
- WindowsまたはLinuxサーバーにインストールされたOkta Provisioning Agent。
- Okta Provisioning Agentが送信するプロビジョニングリクエストを処理するSCIMサーバー。SCIMサーバーは、Okta Provisioning Connector SDKを使用して構築したコネクターでも、SCIMベースのREST呼び出しを処理できる独自のプログラムでも構いません。
- Okta Provisioning Connector SDKパッケージには、オンプレミスプロビジョニングをテストするため、および独自のコネクターを構築するために使用できるサンプルコネクターが含まれています。サンプルコネクターを自分のデプロイメントに合わせて変更せずに使用することは避けてください。
- LinuxおよびWindows用のTLS(Transport Layer Security)v1.2プロトコルです。
- オンプレミスプロビジョニングを高可用にするには、追加のOkta Provisioning AgentとSCIMコネクターを別のサーバーにインストールする必要があります。Okta Provisioning Agentを起動し、SCIMコネクターを構成し、バックアップサーバーでプロビジョニングを有効にします。プライマリサーバーが利用できない場合でも、Okta Provisioning AgentとSCIMコネクターが実行するプロセスは継続して動作します。
ユーザーワークフロー
SCIMサーバーを使用してOktaからオンプレミスアプリケーション(MySQLデータベースなど)に新規ユーザーをプロビジョニングする場合、これが典型的なワークフローです。
- Okta管理者は、MySQLのオンプレミスアプリケーションの使用にあたり、Oktaにアプリ統合のインスタンスを作成します。
- 管理者は、OktaでのMySQLアプリ統合にOktaユーザーを割り当てて、新しいユーザーをプロビジョニングします。Oktaは、プロビジョニングイベントを作成します(新規ユーザーの作成)。アプリケーションユーザーのカスタムスキーマに配列属性しか含まれていない場合、Oktaのプロビジョニングが失敗することがあります。
- Okta Provisioning AgentはOktaをポーリングして、プロビジョニングイベントを見つけます。Okta Provisioning Agentは、プロビジョニングイベントをSCIMリクエストに変換し、SCIMサーバーの/Usersエンドポイントに対してHTTP POSTリクエストを行います。
- SCIMサーバーは、/Usersに対して行われた、ユーザーのJSON形式のSCIM表現を含むPOSTリクエストを受信します。サーバーは、オンプレミスアプリケーションでそのユーザーを作成しようとします。
- SCIMサーバーは、SCIMプロトコルで義務付けられているように、SCIMレスポンスメッセージでOkta Provisioning Agentに応答します。
WorkdayのようなHRMS(人事管理システム)を使用してユーザーをオンボーディングしている企業の場合、OktaはActive Directory(AD)をミーティングポイントとして使用して、オンプレミスアプリへのユーザーのプロビジョニングとオンプレミスアプリからのユーザーのデプロビジョニングを行います。ADインスタンスのアカウントを管理するようにOktaを設定すると、OktaはWorkdayのユーザーアカウントに基づいてADのユーザーを作成更新します。この情報は、ADをユーザーストアとして使用する任意のオンプレミスアプリで使用できます