オンプレミスプロビジョニングについて

クラウドベースのプロビジョニングと同様に、オンプレミスプロビジョニングでは、SCIMプロトコルを使用して、ユーザーストアとエンドユーザーが日々使用するアプリケーションの間でユーザーアカウント情報を同期させます。

アーキテクチャ

オンプレミスプロビジョニングのアーキテクチャは、Okta、Okta Provisioning Agent、SCIMサーバーまたはカスタムコネクター、オンプレミスアプリケーションなどのコンポーネントで構成されます。図に示すように、Oktaを除くすべてのコンポーネントは、ファイアウォールの内側にあります。

前提条件

Oktaのオンプレミスプロビジョニングを実装するには、以下のが必要です。

• WindowsまたはLinuxサーバーにインストールされたOkta Provisioning Agent。
• Okta Provisioning Agentが送信するプロビジョニングリクエストを処理するSCIMサーバー。SCIMサーバーは、Okta Provisioning Connector SDKを使用して構築したコネクターでも、SCIMベースのREST呼び出しを処理できる独自のプログラムでも構いません。
  • Okta Provisioning Connector SDKパッケージには、オンプレミスプロビジョニングをテストするため、および独自のコネクターを構築するために使用できるサンプルコネクターが含まれています。サンプルコネクターを自分のデプロイメントに合わせて変更せずに使用することは避けてください。
• LinuxおよびWindows用のTLS（Transport Layer Security）v1.2プロトコルです。
• オンプレミスプロビジョニングを高可用にするには、追加のOkta Provisioning AgentとSCIMコネクターを別のサーバーにインストールする必要があります。Okta Provisioning Agentを起動し、SCIMコネクターを構成し、バックアップサーバーでプロビジョニングを有効にします。プライマリサーバーが利用できない場合でも、Okta Provisioning AgentとSCIMコネクターが実行するプロセスは継続して動作します。

ユーザーワークフロー

SCIMサーバーを使用してOktaからオンプレミスアプリケーション（MySQLデータベースなど）に新規ユーザーをプロビジョニングする場合、これが典型的なワークフローです。

• Okta管理者は、MySQLのオンプレミスアプリケーションの使用にあたり、Oktaにアプリ統合のインスタンスを作成します。
• 管理者は、OktaでのMySQLアプリ統合にOktaユーザーを割り当てて、新しいユーザーをプロビジョニングします。Oktaは、プロビジョニングイベントを作成します（新規ユーザーの作成）。アプリケーションユーザーのカスタムスキーマに配列属性しか含まれていない場合、Oktaのプロビジョニングが失敗することがあります。
• Okta Provisioning AgentはOktaをポーリングして、プロビジョニングイベントを見つけます。Okta Provisioning Agentは、プロビジョニングイベントをSCIMリクエストに変換し、SCIMサーバーの/Usersエンドポイントに対してHTTP POSTリクエストを行います。
• SCIMサーバーは、/Usersに対して行われた、ユーザーのJSON形式のSCIM表現を含むPOSTリクエストを受信すると、オンプレミスアプリケーションでそのユーザーを作成しようとします。
• SCIMサーバーは、SCIMプロトコルで義務付けられているように、SCIMレスポンスメッセージでOkta Provisioning Agentに応答します。

WorkdayのようなHRMS（人事管理システム）を使用してユーザーをオンボーディングしている企業の場合、OktaはADをミーティングポイントとして使用して、ユーザーをオンプレミスアプリケーションにプロビジョニングおよびデプロビジョニングします。ADインスタンスのアカウントを管理するようにOktaを設定すると、OktaはWorkdayのユーザーアカウントに基づいてADのユーザーを作成更新します。この情報は、ADをユーザーストアとして使用するオンプレミスアプリケーションで使用することができます。

関連項目

オンプレミスプロビジョニングを展開するための一般的なワークフロー

オンプレミスアプリケーションのプロビジョニング

SCIM 1.1プロトコルの仕様