Okta SharePoint People Pickerエージェントを構成する

Okta SharePoint People Pickerプラグインをインストールすると、Oktaからユーザーとグループを取得できます。People Pickerプラグインは、Okta管理者ダッシュボードの[ダウンロード]ページからダウンロードできるMicrosoft Windowsの実行可能ファイルです。

開始する前に

  • ユーザー・アカウントにSharePointファームを変更する権限があることを確認します。
  • PowerShellコマンドを実行するためのSharePoint管理シェルまたはSharePoint PowerShellスナップインがあることを確認します。次のコマンドを入力して、必要なスナップインを既存のPowerShellプロンプトに追加します。

    Add-PSSnapIn Microsoft.Sharepoint.Powershell

この手順を開始する

この手順には次のタスクが含まれます:

1. SharePointファームで構成値を設定する

Okta People Pickerをインストールするには、SharePointファームでいくつかの構成値を設定する必要があります。これらの値は、People Pickerの機能を構成し、このSharePoint環境と統合するOkta組織を定義するために使用されます。

プロパティー
Okta APIキー前提条件の手順で生成された、読み取り専用管理者APIキー
BaseUrlOkta組織のドメイン(例:https://oktaorg.okta.com
OktaClaimProviderDisplayNameデフォルトではOktaに設定されています。Okta People Pickerに別の表示名を使用する場合は、別の値に設定できます
MapUpnToWindowsUserC2WTSプロトコル変換を有効または無効にするための構成フラグ
UniqueUserIdentifierClaimType

一意のユーザーIDクレームを定義します。Oktaで信頼できるトークン発行者のIDクレーム・タイプは、一意で不変であり、UniqueUserIdentifierClaimTypeと一致する必要があります。IDクレームとして使用する内容に応じて、EmailまたはUserNameに設定します。

2. 適切なコマンドを実行する

以下の変数を上記で定義されている適切な値に置き換えて、次のコマンドを入力します。

ヒント

ヒント

コピーして貼り付けるのではなく、コマンドを入力します。

  1. 次のコマンドを入力して、ファームのプロパティーを更新します。

    $farm = Get-SPFarm

    $farm.Properties["OktaApiKey"] = "OktaAPIKey"

    $farm.Properties["OktaBaseUrl"] = "https://oktaorg.okta.com""

    $farm.Properties["OktaLoginProviderName"] = "Okta"

    $farm.Properties["OktaClaimProviderDisplayName"] = "Okta"

  2. オプション:C2WTSを有効にする場合、次のコマンドを実行します。そうでない場合は、次の手順に進みます。

    $farm.Properties["MapUpnToWindowsUser"] = $true

  3. UniqueUserIdentifierClaimTypeを指定するために、次のいずれかのコマンドを実行します。

    $farm.Properties["UniqueUserIdentifierClaimType"] = "Email"

    または

    $farm.Properties["UniqueUserIdentifierClaimType"] = "UserName"

  4. 次のコマンドを入力して、ファームの値を更新します。

    $farm.Update()

3. 検索範囲の値を構成する

Okta People Pickerで検索範囲を使用するには、SharePoint Webアプリケーションでいくつかの構成値を設定する必要もあります。

$webApplication = Get-SPWebApplication

$ webApplication.Properties["UserSearchScope"] = "OKTA"

または

$ webApplication.Properties["UserSearchScope"] = "APP"

$ webApplication.Properties["UserSearchScopeAppId"] = "{AppID}" //app instance id in Okta org

$webApplication.Update();

重要な注意事項

重要

  • アプリIDが指定されていないか無効である場合、UserSearchScopeはフォールバックされ、検索範囲としてOKTA(組織レベルの検索)が使用されます。
  • People Pickerでは、指定されたアプリIDが、このSharePoint WebアプリケーションとWS-Federationが行われたアプリ・インスタンスに属しているかどうかは検証されません。この検証は手動で行う必要があります。

同じファームに複数のWebアプリケーションがある場合、必要で適切なWebアプリケーションに値を設定できるように、プロパティーを設定する前に$webApplicationの値を確認してください。

例:UserSearchScopeおよびUserSearchScopeAppId$webApplication[1]に設定します

PS C:\Users\administrator.SP10> $w[1].properties

名前
------------

UserSearchScope

OKTA

UserSearchScopeAppID

0oalx5qLAHqqLVtNv0w4

PS C:\Users\administrator.SP10> $w[1].properties["UserSearchScope"] = "APP"

PS C:\Users\administrator.SP10> $w[1].properties["UserSearchScopeAppID"] = "0oalx5qLAHqqLVtNv0w4"

PS C:\Users\administrator.SP10> $w[1].properties

名前
------------

UserSearchScope

APP

UserSearchScopeAppID

0oalx5qLAHqqLVtNv0w4

PS C:\Users\administrator.SP10> $w[1].update()

4. オプション:Active Directoryのインポートをフィルタリングする

Okta People Pickerでは、Active Directoryからインポートされたユーザーが2回表示されます(Oktaユーザーとして、およびADドメイン・ユーザーとして)。元のADユーザーのみを表示および管理することができます。特定のドメインが元の挙動を維持するように指定することもできます。この機能を有効にするには、SharePointで特定の$farmオブジェクトのプロパティーを設定する必要があります。

Active Directoryからインポートする場合、ADのインポートのフィルタリングを可能にするPeople PickerのActive Directoryフィルタリング・オプションを利用できます。

この機能を有効にするには、次のプロパティーを使用します。

$farm = Get-SPFarm

$farm.Properties["FilterActiveDirectoryClaims"] = $true

$farm.Properties["AllowedActiveDirectoryDomains"] = "foo.com", "bar.com"

$farm.Update()

情報

Active Directoryドメインのフィルタリングは、OKTAの検索範囲でのみ使用できます。

次の手順

Okta People Picker for SharePointエージェントをデプロイする