オンプレミス・プロビジョニングについて

クラウドベースのプロビジョニングと同様に、オンプレミス プロビジョニングでは、SCIMプロトコルを使用して、ユーザーストアとエンドユーザーが日々使用するアプリケーションの間でユーザーアカウント情報を同期させます。

注

オンプレミス プロビジョニングは、SCIM 1.1仕様のみをサポートしています。

アーキテクチャ

オンプレミス プロビジョニングのアーキテクチャは、Okta、Okta Provisioning Agent、SCIM サーバーまたはカスタムコネクター、そしてお使いのオンプレミス アプリケーションなどのコンポーネントで構成されています。この図のように、Oktaを除くすべてのコンポーネントは、ファイアウォールの内側にあります。

前提条件

注

オンプレミス プロビジョニングの実装は、Oktaプロフェッショナル サービスが行った場合のみ、Oktaが正式にサポートします。Oktaがサポートするオンプレミス プロビジョニングの実装方法の詳細については、Oktaプロフェッショナル サービスにお問い合わせください。

Oktaのオンプレミス プロビジョニングを実装するには、以下のものが必要です。

  • WindowsまたはLinuxサーバーにインストールされたOkta Provisioning Agent。
  • Okta Provisioning Agentが送信するプロビジョニングリクエストを処理するSCIM サーバー。SCIM サーバーは、Okta Provisioning Connector SDKを使用して構築したコネクターでも、SCIMベースのREST 呼び出しを処理できる独自のプログラムでも構いません。
    • Okta Provisioning Connector SDK パッケージには、オンプレミス プロビジョニングをテストしたり、独自のコネクターを構築するのに使用できるサンプルコネクターが含まれています。サンプルコネクターを自分のデプロイメントに合わせて変更せずに使用することは避けてください。
  • LinuxおよびWindows用のTLS(Transport Layer Security)v1.2プロトコルです。
  • オンプレミス プロビジョニングを高可用性にするには、Okta Provisioning AgentとSCIM コネクターを別のサーバーに追加インストールする必要があります。Okta Provisioning Agentを起動し、SCIM コネクターを構成して、バックアップサーバーのプロビジョニングを有効にします。プライマリサーバーが利用できない場合でも、Okta Provisioning AgentとSCIMコネクターが実行するプロセスは継続して動作します。

ユーザーワークフロー

SCIM サーバーを使ってOktaからオンプレミス アプリケーション(例えばMySQLデータベース)に新規ユーザーをプロビジョニングする場合、これが典型的なワークフローです。

  • Okta管理者は、Oktaにアプリ統合のインスタンスを作成し、MySQL のオンプレミス アプリケーションを表します。
  • 管理者は、OktaでのMySQLアプリ統合に Okta ユーザーを割り当てて、新しいユーザーをプロビジョニングします。Oktaは、プロビジョニングイベントを作成します(新規ユーザーの作成)。アプリケーションユーザーのカスタム・スキーマに配列属性しか含まれていない場合、Okta のプロビジョニングが失敗することがあります。
  • Okta Provisioning AgentはOktaをポーリングして、プロビジョニングイベントを見つけます。Okta Provisioning Agentは、プロビジョニングイベントをSCIMリクエストに変換し、SCIMサーバーの/UsersエンドポイントにHTTP POST リクエストを作成します。
  • SCIMサーバーは、ユーザーの JSON 形式の SCIM 表現を含む /Users への POST リクエストを受信すると、オンプレミス アプリケーションでそのユーザーを作成しようとします。
  • SCIMサーバーは、SCIMプロトコルで義務付けられているように、SCIM レスポンスメッセージでOkta Provisioning Agentに応答します。

WorkdayのようなHRMS(人事管理システム)を使用してユーザーをオンボーディングしている企業の場合、OktaはADをミーティングポイントとして使用して、ユーザーをオンプレミス アプリケーションにプロビジョニングおよびデプロビジョニングします。ADインスタンスのアカウントを管理するようにOktaを設定すると、OktaはWorkdayのユーザーアカウントに基づいてADのユーザーを作成・更新します。この情報は、ADをユーザーストアとして使用するオンプレミス アプリケーションで使用することができます。

関連項目

オンプレミス・プロビジョニングを展開するための一般的なワークフロー

オンプレミス アプリケーションのプロビジョニング

SCIM 1.1プロトコル仕様