Utiliser Anything-as-a-Source

Anything-as-a-Source (XaaS) vous permet d'intégrer n'importe quelle source de vérité à Okta et de bénéficier d'un approvisionnement piloté par les RH à partir de n'importe quelle source de vérité. XaaS vous donne la flexibilité de définir les conditions de synchronisation entre Okta et la source de vérité. Par ailleurs, certaines identités n'ont pas besoin d'être représentées dans Okta, et XaaS peut filtrer les données non pertinentes en synchronisant uniquement les identités appropriées.

Conditions préalables

  • Un accès aux capacités de sourcing de profil Okta.
  • Une source de vérité à partir de laquelle vous pouvez extraire des données avec l'API publique, un rapport, une exportation de fichiers ou un autre mécanisme.
  • Un client API pour effectuer des appels d'API associés à la fonctionnalité XaaS. Il peut s'agir d'une plateforme d'automatisation (telle qu'Okta Workflows) ou de votre propre code hébergé de manière personnalisée.

  • Le client API doit être autorisé à appeler les API Okta. Pour ce faire, vous devez configurer une app de service OAuth 2.0 (ou utiliser le client OAuth 2.0 intégré dans Okta Workflows).

  • Un accès à la plateforme Okta Workflows si vous utilisez Okta Workflows.
  • Votre org doit avoir activé la fonctionnalité Applications avec source d'identité. Contactez votre équipe de compte Okta pour activer cette fonctionnalité.

Générer une intégration XaaS

La génération d'une intégration XaaS implique les étapes suivantes :

  1. Créer et configurer une source d'identité personnalisée.
  2. Synchroniser les données à l'aide d'une source d'identité personnalisée.

Créer et configurer une source d'identité personnalisée

Avant de synchroniser les données de votre source de vérité, vous devez d'abord créer une intégration dans votre organisation Okta en suivant ces étapes :

  1. Dans l'Admin Console, accédez à ApplicationsApplications.

  2. Cliquez sur Parcourir le catalogue d'applications.
  3. Cherchez et sélectionnez Identité client personnalisée, puis cliquez sur Ajouter une intégration.
  4. Facultatif. Spécifiez le nom de votre nouvelle intégration et indiquez si vous souhaitez rendre l'app visible aux utilisateurs.
  5. Cliquez sur Terminé.
  6. Accédez à l'onglet Approvisionnement.
  7. Sélectionnez Intégrations sous Paramètres.
  8. Sélectionnez Configurer l'intégration d'API, puis sélectionnez Activer l'intégration d'API.
  9. Sélectionnez Dans Okta sous Paramètres.

    L'approvisionnement « Dans l'application » n'est pas pris en charge pour ce type d'intégration et ces paramètres sont ignorés.

  10. Configurez l'intégration. Par exemple :
  • Configurez si les nouveaux utilisateurs doivent être confirmés manuellement ou automatiquement par Okta.
  • Configurez la façon dont Okta détermine si un nouvel utilisateur correspond à un utilisateur existant et si cela doit être confirmé manuellement ou automatiquement.
  • Indiquez si cette intégration sert de source de profil dans Okta.

Vous pouvez trouver l'identifiant de la source d'identité (appelé ${identitySourceId}) dans l'URL de l'instance. Cet identifiant est nécessaire pour configurer la source et se trouve dans l'URL comme indiqué ici :

Mapper les attributs d'une source d'identité personnalisée

Ajoutez des attributs au schéma pour votre intégration pour spécifier les données qui sont envoyées à Okta depuis la source d'identité personnalisée.

  1. Dans l'Admin Console, accédez à RépertoiresProfile Editor.

  2. Facultatif. Dans la section Filtres à gauche, sélectionnez Applications.
  3. Trouvez votre source d'identité personnalisée parmi les intégrations répertoriées.
  4. Pour chaque attribut qui doit être mappé avec Okta (par exemple, pour être inclus dans le profil Okta ou utilisé dans un mappage de profil), effectuez les étapes :
    1. Cliquez sur Ajouter un attribut.
    2. Sélectionnez string comme type de données de l'attribut.

      Les schémas de source d'identité pour XaaS prennent uniquement en charge les attributs string.

    3. Saisissez un nom d'affichage, un nom de variable et (facultatif) une description pour le nouvel attribut. Okta Expression Language est accepté.
    4. Spécifiez toute autre contrainte pertinente, comme le fait que l'attribut soit requis ou non, la plage ou les contraintes de longueur.
    5. Si vous avez d'autres attributs à ajouter, cliquez sur Enregistrer et ajouter un autre. Lorsque vous avez ajouté le dernier attribut, cliquez sur Enregistrer.
    6. Accédez à l'onglet Mappages de la page Profile Editor. Cliquez sur Configurer les mappages de l'utilisateur.
  5. Créez des mappages entre les attributs de la source d'identité personnalisée (appuser) sur la gauche et l'utilisateur Okta sur la droite.

Si l'attribut souhaité n'a pas encore été ajouté au profil utilisateur Okta, consultez Ajouter des attributs personnalisés aux applications, aux répertoires et aux fournisseurs d'identité.

Synchroniser les données avec une source d'identité personnalisée

Maintenant que vous avez ajouté une intégration de source d'identité à votre organisation Okta, vous êtes prêt à synchroniser les données entre votre source de vérité et Okta. Cette section décrit comment utiliser les API XaaS pour effectuer cette synchronisation après que les données ont déjà été extraites de la source.

La suppression d'un utilisateur qui a déjà été mis en correspondance à l'aide d'appels d'API désactive l'utilisateur dans Universal Directory. Si l'utilisateur n'a pas déjà été mis en correspondance, il n'apparaîtra pas dans Universal Directory.

Création d'un client OAuth 2.0

Pour garantir une autorisation sécurisée et standard, vous devez créer une app client OAuth 2.0 dédiée. Elle sert à obtenir le jeton d'accès requis pour effectuer des appels API. Pour obtenir les étapes détaillées de la création de ce client, consultez Implémenter OAuth pour Okta avec une app de service.

Si vous utilisez Okta Workflows comme client API, vous utiliserez également une configuration OAuth 2.0, mais celle-ci est gérée directement dans l'environnement Workflows . Consultez Autorisation pour obtenir des instructions d'autorisation spécifiques.

Créer un client personnalisé pour XaaS

Pour des informations détaillées sur la façon de générer un client personnalisé pour XaaS, consultez Générer une intégration client personnalisée Anything-as-a-Source.

Okta Workflows

Toute API XaaS peut être appelée dans Okta Workflows à l'aide du connecteur Okta et de la carte Action API personnalisée (consultez Action d'API personnalisée). Le connecteur API Okta Workflows (et d'autres connecteurs) peut être utilisé pour appeler tout autre point de terminaison HTTP public. Par exemple, ce connecteur pourrait être utilisé pour récupérer des données directement à partir d'une source de vérité comme un système RH.

Considérations

  • XaaS ne peut pas utiliser la planification de l'importation, les sauvegardes d'importation (de niveau application ou organisation), ou les crochets incorporés d'importation de l'utilisateur.

  • Les importations en masse sont limitées à 10 000 utilisateurs, groupes ou appartenances par session unique.

  • Les importations en masse sont effectuées à raison de 200 utilisateurs, groupes ou appartenances par lot et jusqu'à 50 requêtes POST peuvent être effectuées dans une seule session d'importation. La taille de chaque requête ne doit pas dépasser 200 ko.

  • Il n'y a pas d'API pour la correspondance des comptes, la liaison ou le mappage de profil.

  • Répertorier le même utilisateur deux fois dans une session peut entraîner des problèmes d'inexactitude des données (comme une condition de concurrence ou un conflit de profil).

  • Envoyer un profil vide crée un utilisateur vide, ce qui n'est pas recommandé par Okta.

  • La connexion de XaaS à une intégration existante à Okta (comme Workday) peut entraîner des problèmes d'inexactitude des données et n'est pas prise en charge par Okta.