アプリ統合の設定を構成する
アプリ統合の設定は、アプリ統合ページのタブを使って構成できます。
このタスクの管理者ロールについて
このタスクを実行する管理者は、以下のロールのうち少なくとも1つを持つ必要があります。
- Okta orgのスーパー管理者
- Okta orgのアプリ管理者
読み取り専用管理者は、個々のアプリ統合の設定を閲覧することはできますが、変更を加えることはできません。
はじめに
管理者はAdmin Consoleにサインインする必要があります。
このタスクを開始する
設定ページにアクセスするには:
- Admin Consoleで、 に移動します。
- メインパネルで、更新するアプリ統合をクリックします。[Search(検索)]バーに名前を入力することもできます。
Oktaに、複数のタブで構成されたアプリ統合の設定ページが表示されます。表示されるタブは、アプリ統合のタイプと、orgで有効になっている機能によって異なります。
一般
このタブには、一般的なアプリ統合設定(アプリ統合ごとに異なります)が表示されます。この設定には以下が含まれます。
- [アプリの設定]:アプリケーションのラベルや可視性など、アプリケーション固有の設定を構成します。この設定には以下が含まれます。
- [Application label(アプリケーションラベル)]:Okta End-User Dashboardでアプリケーションに対して表示されるラベルです。
- [Applicationvisibility(アプリケーションの可視性)]:ユーザーに対してアプリを非表示にするには、[Do not display application icon to users(アプリケーションのアイコンをユーザーに表示しない)]を選択します。アプリがOkta Mobileから使用されないようにするには、[Do not display application icon in the Okta Mobile app(Okta Mobileアプリでアプリケーションのアイコンを表示しない)]を選択します。
- [URL]:ブックマークアプリのログインページのURL。ほかのタイプのアプリにも、アプリケーション固有のURL用の同様のフィールドが含まれている場合があります。
- [Request Integration(統合をリクエスト)]:作成したアプリ統合の場合、Oktaでアプリをレビューし、Okta Integration Network(OIN)に追加するようにリクエストするには、これを選択します。このプロパティーは、ブックマークアプリ統合にのみ適用されます。OINへのアプリ統合の追加の詳細については、「アプリ統合の提出」を参照してください。
- [Browser plugin auto-submit(ブラウザープラグインの自動送信)]:ユーザーがアプリのログインページにアクセスしたときに自動的にユーザーをサインインするには、[Automatically log in when user lands on login page(ユーザーがログインページにアクセスすると自動的にログインされるようにする)]を選択します。
- [Auto-launch(自動的に起動)]:このオプションの適用は、新しく割り当てられたユーザーにのみ影響します。すでにアプリ統合に割り当てられているユーザーは、ダッシュボードでタイルの設定を開き、[Auto-launch the app when user signs into Okta.(ユーザーがOktaにサインインしたときにアプリを自動的に起動します。)]を選択する必要があります。自動起動がここで有効にされた場合、またはエンドユーザーによって有効にされた場合は、Oktaにサインインすると、アプリの複数のインスタンスが追加のタブまたはウィンドウとして表示されることがあります。これは想定される動作であり、ユーザーは不要なタブやウィンドウを安全に閉じることができます。
- [Application notes for end users(エンドユーザー向けアプリケーションノート)]:エンドユーザーがダッシュボードで表示できるアプリに関するノート。
- [Application notes for admins(管理者向けアプリケーションノート)]:管理者がアプリケーションの設定ページの[General(一般)]タブで表示できるアプリに関するノート。
- [VPN Notification(VPN通知)]:アプリ統合に接続するのにVPN接続が必要な場合、エンドユーザーに警告する機能です。エンドユーザーがアプリ統合タイルをクリックすると、アプリを起動する前に通知が表示されます。この通知をカスタマイズして、VPNの要件をユーザーに通知できます。「VPN通知をセットアップする」を参照してください。
エンドユーザーがアプリ統合タイルの[General(一般)]設定で[Auto-launch(自動的に起動)]オプションを有効にしている場合、VPN通知は表示されません。
- [App Embed Link(アプリの埋め込みリンク)]:このセクションを使用して、アプリ統合の埋め込みリンクのコピー、カスタムログインページへのユーザーのリダイレクト、カスタムエラーページへのユーザーのリダイレクトを行えます。
-
[Email Verification Experience(メール検証エクスペリエンス)]:この設定により、メールマジックリンクをAuthenticatorとして使用する際のエンドユーザーエクスペリエンスをカスタマイズできます。エンドユーザーがワンタイムマジックリンクをクリックして、組み込みのSign-In Widgetを使用するorgでIDを確認すると、Oktaはトークンを検証し、ブラウザーリクエストをこのURIの場所にリダイレクトします。このURIの値を設定して、エンドユーザーを特定のOIDCアプリ統合、orgのOkta End-User Dashboard、または任意のカスタムWebサイトに送信できます。このURIが存在しない場合、Oktaはリダイレクトサインインフローを使用し、エンドユーザーをOkta End-User Dashboardに送信します。
サインオン
アプリ統合を追加したら、[サインオン]タブに戻って、任意のサインイン設定を構成または変更できます。利用可能なオプションはアプリ統合によって異なります。「シングルサインオンオプションを構成する」を参照してください。
アプリ統合の[Sign on methods(サインオン方法)]と[Credentials Details(資格情報の詳細 )]を構成できます。また、アプリの[Sign On Policy(サインオンポリシー)]を構成することもできます。「認証ポリシー」を参照してください。
プロビジョニング
アプリ統合でプロビジョニングが有効なときは、このタブを使用して、外部アプリケーションとの間でのユーザーアカウントの作成、更新、非アクティブ化のアクティビティを自動化できます。「アプリのプロビジョニング」を参照してください。
インポート
利用可能なユーザーリストまたはCSVファイルからインポートするユーザーにアプリを割り当てることができます。「ユーザーのインポート」を参照してください。
割り当て
[Assign(割り当て)]ボタンを使用すると、ユーザーとグループを新しいアプリに割り当てることができます。[People(ユーザー)]ビューと[Groups(グループ)]ビューを切り替えるには、左側の[Filters(フィルター)]パネルを使用します。
特定のアプリ統合を個々のユーザーまたはグループに割り当てるには:
- [Assign(割り当て)]をクリックします。
- [Assign to People(ユーザーに割り当て)]または[Assign to Groups(グループに割り当て)]を選択します。[Assign app_name to People(アプリ名をユーザーに割り当てる)]または[Assign app_name to Groups(アプリ名をグループに割り当てる)]ダイアログに、選択したアプリ統合に割り当てられていない使用可能なエンドユーザーまたはグループが一覧表示されます。
- このアプリを割り当てる各ユーザーまたはグループの横にある[Assign(割り当て)]をクリックします。一部のアプリでユーザーを追加する際に、[Attributes(属性)]ダイアログでユーザーの詳細を入力する必要がある場合があります。
- さらにユーザーまたはグループを割り当てるか、[Done(完了)]をクリックします。
個々のユーザーをアプリ統合に割り当てるには時間がかかるため、代わりにグループを使用してアプリ統合を割り当てることをお勧めします。「単一のアプリをグループに割り当てる」を参照してください。
また、個別のアプリ統合の割り当てをグループ割り当てに変換することもできます。「個人の割り当てからグループへの割り当てに変換する」を参照。
[セルフサービス]で[Requests(リクエスト)]を有効にすることで、ユーザーがセルフサービスでアプリをリクエストして取得できるようにすることができます。これを実行できるのは、orgがセルフサービスを有効にして、ユーザーがorgの管理対象アプリの統合を追加できるようにしている場合のみです。「アプリへのセルフサービスアクセスを有効にする」を参照してください。
プッシュグループ
グループプッシュを使用すると、Oktaの既存のグループを使用して、外部アプリケーションにプッシュすることができます。グループが外部アプリケーションにプッシュされると、Oktaはメンバーシップの変更を外部アプリケーションの対応するグループに自動的に送信します。「グループプッシュ」を参照してください。
グループプッシュでは、アプリ統合のためにAPI認証とプロビジョニングを有効にする必要があります。「グループプッシュの前提条件」を参照してください。
Okta APIのスコープ
OpenID Connectクライアントは、ユーザーに代わってOkta APIにアクセスできます。スコープは、APIエンドポイントへのクライアントのアクセスを制御し、クライアントが実行できる操作を決定します。スコープ名の横にあるツールチップアイコンにカーソルを合わせると、各スコープの詳細情報を表示できます。
.selfで終わるスコープは、リソース自体の参照または管理のみを許可します。ほかのスコープでは、特定のタイプのすべてのリソースへのアクセスが許可されます。たとえば、okta.users.manage.selfスコープでは、アプリで管理できるのは、サインインしたユーザーのプロファイルと認証情報のみです。一方、okta.users.manageスコープでは、アプリで新しいユーザーを作成し、すべてのユーザーのプロファイルと認証情報を管理できます。
Oktaは、クライアントがリクエストし、クライアントユーザーがリソースに対する適切な権限を持っている場合に、同意を付与したスコープに対する同意を承認します。権限レベルはユーザーのOkta管理者ロールによって決まります。
任意のスコープの同意を有効にするには、スコープ名の横にある[Grant(付与)]をクリックします。
以前に付与したスコープを削除する必要がある場合は、そのスコープの名前の横にある[Revoke(取り消す)]をクリックします。