エンタイトルメント管理によってSCIMアプリ統合を作成する

Oktaは、System for Cross-domain Identity Management(SCIM)2.0向けの統合プラットフォームを提供しています。このプラットフォームを利用することで、アプリ統合がサードパーティシステムからリソースをインポートしたり、リソースをプロビジョニングしたりすることができます。これらのリソースには、ユーザー、グループ、エンタイトルメントが含まれます。統合プラットフォームは、ロールとエンタイトルメントのSCIM 2.0標準およびコアスキーマ定義に準拠しています。

次の手順は、SCIMプロビジョニングが有効なアプリ統合の作成方法について説明しています。これにより、Oktaとクラウドベースの関連アプリまたはサービスの間で行われるユーザーIDの交換を管理および自動化できます。アプリ統合がエンタイトルメント管理を使用する場合、統合の一環で属性が検出されます。Okta プロファイルエディターを使って手動で追加することはできません。

開始する前に

  • エンタイトルメント管理には Okta Identity Governanceが必要です。

  • 手順は、次のエンドポイントを公開するアプリ向けのエンタイトルメントに対応したSCIM 2.0サーバーが機能していることを前提としています。

    • /ResourceTypes
    • /Schemas(任意。Oktaに不明な拡張機能が使用される場合は必要。)
    • /ResourceTypesが返す各リソースタイプ向けのエンドポイント(たとえば、/Licenses

  • アプリ統合の認証タイプを決定します。Basic認証、ヘッダー認証、OAuthヘッダー認証を利用できます。

  • 統合でインポートおよびプロビジョニングするリソースを決定します。利用できるリソースタイプは、ユーザー、グループ、エンタイトルメントです。

統合を作成

  1. Admin Consoleで、アプリケーション(Applications) > アプリケーション(Applications)に移動します。

  2. アプリカタログを参照(Browse App Catalog)をクリックします。

  3. SCIM 2.0 with Entitlements Managementをカタログで検索します。目的の認証方式を使用する統合を選択します。

    • (Basic Auth) Governance with SCIM 2.0((Basic認証)GovernanceとSCIM 2.0)
    • (Header Auth) Governance with SCIM 2.0((ヘッダー認証)GovernanceとSCIM 2.0)
    • (OAuth Bearer Token) Governance with SCIM 2.0((OAuthベアラートークン)GovernanceとSCIM 2.0)
  4. 統合を追加(Add Integration)をクリックします。
  5. 一般設定を構成します。次へ(Next)をクリックします。
  6. 必要なサインオンオプションを構成します。完了(Done)をクリックします。
  7. 一般(General)タブに移動します。
  8. IDガバナンス(Edit)セクションの編集(Edit)(Identity Governance)をクリックします。
  9. Governance Engine ドロップダウンメニューで有効(Enabled)を選択します。
  10. 保存(Save)をクリックします。ページを更新して、アプリ統合のガバナンス(Governance)タブを表示します。
  11. プロビジョニング(Provisioning)タブに移動します。
  12. API統合を構成(Configure API Integration)を選択し、API統合を有効化(Enable API Integration)(Enable API integration)を選択します。
  13. アプリまたはSCIMサーバーのSCIM 2.0ベースURL(SCIM 2.0 Base Url)を入力します例:https://example.com/scim/v2/
  14. 選択した認証タイプで求められる資格情報を入力します。API資格情報をテスト(Test API Credentials)をクリックして資格情報を検証します。
  15. 統合がSCIMサーバーからグループをインポートする必要があるときは、グループをインポート(Import Groups)を選択します。それ以外の場合はチェックボックスをクリアします。
  16. 保存(Save)をクリックします。

前の手順を完了すると、OktaとSCIMサーバーの間のすべてのプロビジョニング通信を処理するアプリ統合が作成されます。統合ビルダーは、ダウンストリームアプリで求められるすべての認証と認可を処理する必要があります。

次の手順

アプリの統合にプロビジョニングを構成する

統合が想定どおりに動作しないときは、 Oktaサポート までお問い合わせください。

関連項目

Governance Engine を有効にする

エンタイトルメントを使ってSCIMサーバーを作成する

RFC 7643: System for Cross-domain Identity Management: Core Schema

RFC 7644: System for Cross-domain Identity Management: Protocol