Okta SharePoint People Pickerエージェントを構成する
Okta SharePoint People Pickerプラグインをインストールすると、Oktaからユーザーとグループを取得できます。People Pickerプラグインは、Okta管理者ダッシュボードの[Downloads(ダウンロード)]ページからダウンロードできるMicrosoft Windowsの実行可能ファイルです。
はじめに
- ユーザーアカウントにSharePointファームを変更する権限があることを確認します。
-
SharePoint管理シェルまたはSharePoint PowerShellスナップインがあり、SharePoint ServerでPowerShellコマンドを実行できることを確認します。次のコマンドを入力して、必要なスナップインを既存のPowerShellプロンプトに追加します。
Add-PSSnapIn Microsoft.Sharepoint.Powershell
この手順を開始する
この手順には次のタスクが含まれます:
4. 任意:Active Directoryのインポートをフィルタリングする
1. SharePointファームで構成値を設定する
Okta People Pickerをインストールするには、SharePointファームでいくつかの構成値を設定する必要があります。これらの値は、People Pickerの機能を構成し、このSharePoint環境と統合するOkta orgを定義するために使用されます。
| プロパティ | 値 |
|---|---|
| Okta APIキー | 前提条件の手順で生成された、読み取り専用管理者APIキー |
| BaseUrl | Okta orgのドメイン(例:https://oktaorg.okta.com) |
| OktaClaimProviderDisplayName | デフォルトではOktaに設定されています。Okta People Pickerに別の表示名を使用する場合は、別の値に設定できます |
| MapUpnToWindowsUser | C2WTSプロトコル変換を有効または無効にするための構成フラグ |
| UniqueUserIdentifierClaimType |
一意のユーザーIDクレームを定義します。Oktaで信頼できるトークン発行者のIDクレームタイプは、一意で不変であり、UniqueUserIdentifierClaimTypeと一致する必要があります。IDクレームとして使用する内容に応じて、EmailまたはUserNameに設定します。 |
2. 適切なコマンドを実行する
次のコマンドを入力します。変数は前のセクションで定義した適切な値に置き換えてください。
コピーして貼り付けるのではなく、コマンドを入力します。
-
次のコマンドを入力して、ファームのプロパティーを更新します。
コピー$farm = Get-SPFarm
$farm.Properties["OktaApiKey"] = "OktaAPIKey"
$farm.Properties["OktaBaseUrl"] = "https://oktaorg.okta.com""
$farm.Properties["OktaLoginProviderName"] = "Okta"
$farm.Properties["OktaClaimProviderDisplayName"] = "Okta" -
任意:C2WTSを有効にする場合、次のコマンドを実行します。そうでない場合は、次の手順に進みます。
コピー$farm.Properties["MapUpnToWindowsUser"] = $true -
UniqueUserIdentifierClaimTypeを指定するために、次のいずれかのコマンドを実行します。コピー$farm.Properties["UniqueUserIdentifierClaimType"] = "Email"Or
コピー$farm.Properties["UniqueUserIdentifierClaimType"] = "UserName" -
次のコマンドを入力して、ファームの値を更新します。
コピー$farm.Update()
3. 検索スコープの値を構成する
Okta People Pickerで検索スコープを使用するには、SharePoint Webアプリケーションでいくつかの構成値を設定する必要があります。
$webApplication = Get-SPWebApplication
$ webApplication.Properties["UserSearchScope"] = "OKTA"Or
$ webApplication.Properties["UserSearchScope"] = "APP"
$ webApplication.Properties["UserSearchScopeAppId"] = "{AppID}" //app instance id in Okta org
$webApplication.Update();- アプリIDが指定されていないか無効である場合、
UserSearchScopeはフォールバックされ、検索スコープとしてOKTA(orgレベルの検索)が使用されます。 - People Pickerでは、指定されたアプリIDが、このSharePoint WebアプリケーションとWS-Federationが行われたアプリインスタンスに属しているかどうかは検証されません。この検証は手動で行う必要があります。
同じファームに複数のWebアプリケーションがある場合、プロパティーを設定する前に$webApplicationの値を確認してください。これにより、正しいWebアプリケーションの値を設定できます。
例:UserSearchScopeおよびUserSearchScopeAppIdを$webApplication[1]に設定します
PS C:\Users\administrator.SP10> $w[1].properties
Name Value
------ ------
UserSearchScope OKTA
UserSearchScopeAppID 0oalx5qLAHqqLVtNv0w4
PS C:\Users\administrator.SP10> $w[1].properties["UserSearchScope"] = "APP"
PS C:\Users\administrator.SP10> $w[1].properties["UserSearchScopeAppID"] = "0oalx5qLAHqqLVtNv0w4"
PS C:\Users\administrator.SP10> $w[1].properties
Name Value
------ ------
UserSearchScope APP
UserSearchScopeAppID 0oalx5qLAHqqLVtNv0w4
PS C:\Users\administrator.SP10> $w[1].update()4. 任意:Active Directoryのインポートをフィルタリングする
Okta People Pickerでは、Active Directoryからインポートされたユーザーが2回表示されます(Oktaユーザーとして、およびADドメインユーザーとして)。表示および管理できるのは、元のADユーザーのみです。特定のドメインが元の動作を維持するように指定することもできます。この機能を有効にするには、SharePointで特定の$farmオブジェクトのプロパティーを設定する必要があります。
Active Directoryからインポートする場合、ADのインポートのフィルタリングを可能にするPeople PickerのActive Directoryフィルタリングオプションを利用できます。
この機能を有効にするには、次のプロパティーを使用します。
$farm = Get-SPFarm
$farm.Properties["FilterActiveDirectoryClaims"] = $true
$farm.Properties["AllowedActiveDirectoryDomains"] = "foo.com", "bar.com"
$farm.Update()
Active Directoryドメインのフィルタリングは、OKTAの検索スコープでのみ使用できます。