エンタイトルメント管理によってSCIMアプリ統合を作成する

Oktaは、System for Cross-domain Identity Management(SCIM)2.0向けの統合プラットフォームを提供しています。このプラットフォームを利用することで、アプリ統合がサードパーティシステムからリソースをインポートしたり、リソースをプロビジョニングしたりすることができます。これらのリソースには、ユーザー、グループ、エンタイトルメントが含まれます。統合プラットフォームは、ロールとエンタイトルメントのSCIM 2.0標準およびコアスキーマ定義に準拠しています。

次の手順は、SCIMプロビジョニングが有効なアプリ統合の作成方法について説明しています。これにより、Oktaとクラウドベースの関連アプリまたはサービスの間で行われるユーザーIDの交換を管理および自動化できます。アプリ統合がエンタイトルメント管理を使用する場合、統合の一環で属性が検出されます。Okta Profile Editorを使って手動で追加することはできません。

始める前に

  • エンタイトルメント管理にはOkta Identity Governanceが必要です。

  • 手順は、次のエンドポイントを公開するアプリ向けのエンタイトルメントに対応したSCIM 2.0サーバーが機能していることを前提としています。

    • /ResourceTypes
    • /Schemas(任意。Oktaに不明な拡張機能が使用される場合は必要。)
    • /ResourceTypesが返す各リソースタイプ向けのエンドポイント(たとえば、/Licenses
  • アプリ統合の認証タイプを決定します。基本認証、ヘッダー認証、OAuthヘッダー認証を利用できます。

  • 統合でインポートおよびプロビジョニングするリソースを決定します。利用できるリソースタイプは、ユーザー、グループ、エンタイトルメントです。

統合を作成する

  1. Admin Console[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  2. [Browse App Catalog(アプリカタログを参照)]をクリックします。
  3. エンタイトルメント管理に対応したSCIM 2.0をカタログで検索します。目的の認証方式を使用する統合を選択します。

    • (Basic Auth) Governance with SCIM 2.0((基本認証)GovernanceとSCIM 2.0)
    • (Header Auth) Governance with SCIM 2.0((ヘッダー認証)GovernanceとSCIM 2.0)
    • (OAuth Bearer Token) Governance with SCIM 2.0((OAuthベアラートークン)GovernanceとSCIM 2.0)
  4. [Add Integration(統合を追加)]をクリックします。
  5. 一般設定を構成します。[Next(次へ)]をクリックします。
  6. 必要なサインオンオプションを構成します。[Done(完了)] をクリックします。
  7. [一般]タブに移動します。
  8. [IDガバナンス]セクションの[Edit(編集)]をクリックします。
  9. [Governance Engine]ドロップダウンメニューで[Enabled(有効)]を選択します。
  10. [Save(保存)]をクリックします。ページを更新して、アプリ統合の[ガバナンス]タブを表示します。
  11. [Provisioning(プロビジョニング)]タブに移動します。
  12. [Configure API Integration(API統合を構成)]を選択し、[Enable API Integration(API統合を有効化)]を選択します。
  13. アプリまたはSCIMサーバーのSCIM 2.0ベースURLを入力します(たとえば、https://example.com/scim/v2/)。
  14. 選択した認証タイプで求められる資格情報を入力します。[Test API Credentials(API資格情報をテスト)]をクリックして資格情報を検証します。
  15. 統合がSCIMサーバーからグループをインポートする必要があるときは、[Import Groups(グループをインポート)]を選択します。それ以外の場合はチェックボックスをクリアします。
  16. [Save(保存)]をクリックします。

前の手順を完了すると、OktaとSCIMサーバーの間のすべてのプロビジョニング通信を処理するアプリ統合が作成されます。統合ビルダーは、ダウンストリームアプリで求められるすべての認証と承認を処理する必要があります。

次の手順

アプリの統合のためのプロビジョニング構成

統合が想定どおりに動作しない場合は、Oktaサポートまでお問い合わせください。

関連項目

Governance Engineを有効にする

エンタイトルメントを使ってSCIMサーバーを作成する

RFC 7643: System for Cross-domain Identity Management: Core Schema

RFC 7644: System for Cross-domain Identity Management: Protocol