Anything-as-a-Sourceを使用する

限定EA:これは限定アーリーアクセス(LEA)機能であり、限られた対象者しか利用できません。これを有効にするには、カスタマーサクセスマネージャー(CSM)またはOktaサポートにお問い合わせください。

Anything-as-a-Source(XaaS)を使用すると、信頼できるあらゆる情報源をOktaに統合して、信頼できる情報源を基にしたHR主導のプロビジョニングのメリットを実現できます。XaaSは、Oktaと信頼できる情報源間の同期条件を定義する柔軟性を顧客に提供します。また、一部のIDはOktaでの表記を必要とせず、XaaSは無関係のデータを除去して適切なIDのみを同期できます。

前提条件

Anything-as-a-Sourceを設定する前に、次の条件を満たす必要があります。

  • Oktaプロファイル同期機能を利用できること。

  • 公開API、レポート、ファイル出力、あるいはその他の機構によってデータを抽出できる信頼できる情報源。

  • Anything-as-a-Source機能に関連するAPI呼び出しを行うAPIクライアント。このクライアントは、自動化プラットフォーム(Okta Workflowsなど)またはユーザー独自のカスタムホストされたコードの場合があります。

  • Okta APIを呼び出せるアクティブなAPIトークン。

  • Okta Workflowsを使用する場合は、Okta Workflowsプラットフォームを利用できること。

Anything-as-a-Source統合を構築する

Anything-as-a-Source統合の構築には、次の手順が含まれます。

  1. カスタムIDソースを作成および構成する

  2. カスタムIDソースを使用してデータを同期する

カスタムIDソースを作成および構成する

信頼できる情報源から得たデータを同期する前に、まずは以下の手順に従ってOkta orgに統合を作成する必要があります。

  1. 管理コンソールで、[Applications(アプリケーション)] > [Applications(アプリケーション)]に移動します。

  2. 信頼できる情報源に関して追加したい新しい統合を見つけ出すには、[Browse App Catalog(アプリカタログを参照)]をクリックします。

  3. 左側のナビゲーション・バーにある[Private Apps(プライベート・アプリ)]セクションに移動して、このフィルターを選択します。

  4. [Custom Identity Source(カスタムIDソース)]を選択して[Create New App(新しいアプリを作成)]をクリックします。

  5. オプション。新しい統合に関して名前とカスタム・ロゴを指定します。

  6. この統合を組織に追加してから、新しい統合のページに移動して[Provisioning(プロビジョニング)]タブをクリックします。

  7. [Integration(統合)]メニューで、[Enable API Integration(API統合を有効化)]チェックボックスを選択します。

  8. このページの[To Okta(Oktaへ)]メニューに移動します。

    この統合タイプでは[To App(アプリへ)]プロビジョニングはサポートされていないため、これらの設定は無視されます。

  9. 統合を構成します。例:

  • 新規ユーザーの確認を手動で行うかOktaが自動で行うかを構成する

  • 新規ユーザーが既存ユーザーと一致しているかのOktaによる判断と、判断を手動と自動のどちらとするのかを構成する

  • この統合をOktaのプロファイル・ソースとして指定する

インスタンスに関するURLのアイデンティティ・ソースID(${identitySourceId}と呼ぶ)を検索できます。このIDについてはソースを構成する必要があり、こちらで強調表示するようにURLに記載されています。

IDソース・スキーマを宣言する

次に、新しいカスタムIDソース統合に関連するスキーマに新しい属性を追加して、ソースからOktaに送られるデータを指定します。

  1. 管理コンソールで、[Directory(ディレクトリ)] > [Profile Editor(プロファイルエディター)]に進みます。

  2. カスタムIDソースをリスト表示された統合から見つけ出し、[Profile(プロファイル)]をクリックします。

  3. Oktaに同期する必要がある各属性(例:Oktaプロファイルの包含またはプロファイル・マッピングの使用)に関しては、次の手順を行ってください。

    1. [Add Attribute(属性を追加)]をクリックします。

    2. 属性のデータ型(例:enumまたはstring)を選択します。

    3. 新しい属性に関する表示名、変数名、(任意の)説明を入力します。Okta式言語を受け付けます。

    4. 属性が必要か、その範囲、あるいは文字数上の制約など、他に関連する制約を指定します。

    5. 追加する属性が他にもある場合、[Save and Add Another(保存してほかにも追加)]をクリックします。最後の属性を追加してから、[Save(保存)]をクリックします。

    6. [Profile Editor(プロファイル エディター)]画面で[Mappings(マッピング)]タブをクリックして、[Configure User mappings(ユーザーマッピングを構成)]を選択します。

  4. 右側のOktaユーザーに対して左側のカスタムIDソース(appuser)属性からマッピングを作成します。

まだOktaユーザーのプロファイルを目的の属性を追加していない場合、「アプリ、ディレクトリ、IDプロバイダーにカスタム属性を追加する」を参照してください。

カスタムIDソースを使用してデータを同期する

この時点でIDソース統合をOkta組織に追加済みのため、信頼できる情報源から得たデータをOktaに対して同期することができます。このセクションでは、情報源からデータを抽出した後でXaaS APIを使用してこの同期を実行する方法について説明します。

API呼び出しを使用して照合済みのユーザーを削除すると、OktaのUniversal Directoryでユーザーを非アクティブ化できます。未照合のユーザーは、OktaのUniversal Directoryに表示されません。

APIトークンの作成

最初に、Okta Developerに概要が記載されている手順に従ってAPIトークンを作成します。また、APIクライアントで使用するためにこのトークンをコピーすることもできます。Okta WorkflowsをAPIクライアントとして使用している場合、Oktaコネクターが認証済みAPIトークンを利用できるため、この手順は不要です。

XaaSカスタム・クライアントを構築する

XaaSカスタム・クライアント構築方法の詳細については、Okta Developerのガイドを参照してください。

Okta Workflows

OktaコネクターおよびカスタムAPIアクション・カードを使用することで、Okta WorkflowsでXaaS APIを呼び出すことができます(「カスタムAPIアクション・カードを構築する」を参照してください)。さらに、他の公開HTTPエンドポイントを呼び出すためにOkta Workflows APIコネクター(およびその他のコネクター)を使用できます。たとえば、データをHRシステムなど信頼できる情報源から直接取得するために、このコネクターを使用できます。