YubiKey配送用のOkta Workflowsをセットアップする
この手順では、Okta Workflowsを使用してYubico組織とOkta組織を接続する方法について説明します。このワークフローは、ユーザー向けの事前登録されたYubiKeyを注文するとトリガーされます。このワークフローでは、ユーザーのYubiKeyを登録してアクティブ化し、Yubico組織に配送注文を作成し、ユーザーにPINを送信します。
配送情報がServiceNowやWorkdayなどのHRIS(人事情報システム)アプリからソーシングされる場合は、そのアプリもOkta Workflowsで接続する必要があります。
開始する前に
事前登録のYubiKeyを使用したフィッシング耐性のある認証を必須にするへのジャーニーの2番目の部分には、Okta Workflowsコンソールで実行するタスクが含まれます。フィッシング耐性のあるアプリサインインポリシーの作成を完了してから以下の手順に進んでください。
Okta orgから接続を作成する
- Okta orgから接続を作成します。Oktaコネクターを認可するを参照してください。
- Oktaデバイスの接続を作成します。Oktaデバイスコネクターを認可するを参照してください。
Yubico orgから接続を作成する
- Yubico orgでAPIトークンを生成します。に移動します。
- トークンをコピーして安全な場所に保管します。
- Okta Workflowsコンソールで、に移動します。
- Yubicoコネクターを選択します。
-
新規接続(New Connection)ウィンドウで、接続ニックネーム(Connection Nickname)を入力します。これは接続のリスト中に表示される表示名です。
- APIシークレット(API Secret)で、YubicoからAPIトークンを張り付けて作成(Create)をクリックします。
事前登録されたYubiKey用のOkta Workflowsテンプレートをセットアップする
- 事前登録されたYubiKeyテンプレートをWorkflows環境に追加します。利用可能なWorkflowsテンプレートを参照してください。
- テンプレートフォルダに次のフローがあることを確認します。
- 配送の作成トリガー - MFA開始
- 配送の作成トリガー - グループの追加
- 配送の処理(クローンジョブ)
- 配送の作成
- 登録APIの呼び出し
- 資格情報JWEのマッピング
- FactorIDのキーIDへのマッピング
- 配送の処理
- 配送アイテムの反復処理
- 製品データの処理
- アクティブ化APIの呼び出し
- 資格情報レスポンスの登録IDへのマッピング
フローでOktaおよびYubico接続をアクティブ化する
各フローをOkta orgまたはYubico orgに接続します。各フローについて次の手順を実行します。
- フローを開き、OktaまたはYubico接続を含むカードを見つけます。
- 接続を選択(Choose connection)をクリックします。
- Okta orgまたはYubico orgを選択します。保存(Save)をクリックします。OktaとYubicoの横に、接続が正常に確立されたことを示す緑色のチェックマークが表示されます。
- 他のすべてのカードとテンプレート内のフローについてこの手順を繰り返します。
-
フォルダに戻り、オン/オフ(On/Off)スイッチを切り替えて各フローをオンにします。Oktaでは、配送の作成トリガー - グループの追加(Create shipment trigger - Group add)アプリイベントフローをオフにすることを推奨します。一度に1つのアプリイベントフローのみをオンにしてください。フォルダは次のようになります。
配送の作成フローを更新してHRISを統合する
この手順は、ユーザーの配送情報が外部のHRISアプリ(ServiceNowやWorkdayなど)からソーシングされる場合にのみ必要です。この情報がOktaからソーシングされる場合は、この手順をスキップしてください。
Okta Workflowsテンプレートは、Okta Okta Universal Directoryを配送情報のソースとして使用するように設定されています。この情報がHRISからソーシングされる場合は、配送の作成(Create shipment)フローを更新してこの情報をフローにインポートする必要があります。
更新後のフローは次のようになります。
HRISからの接続を作成する
HRISアプリからの接続を作成します。接続を構成するを参照してください。これにより、HRISアプリがOkta Workflowsに接続されます。
HRIS用の[ユーザーの読み取り]カードを作成する
配送の作成(Create shipment)フローのOktaユーザーの読み取り(Okta Read User)カードの横に、HRISアプリ用のユーザーの読み取り(Read User)カードを追加します。
- +アイコンの下にある雲アイコンをクリックします。
- HRISアプリを検索します。アプリをクリックして、利用可能なアクションカードのリストを開きます。
- ユーザーの読み取り(Read User)カードをクリックしてフローに追加します。アプリによってはこのカードの名前が異なる場合があります。たとえば、Workdayでは、ワーカーの読み取り(Read Worker)カードという名前です。
- カードで、アプリが接続されていることを確認します。接続が正常に確立されたことを示す緑色のビュレットがアプリ名の前に表示されます。
- 保存(Save)をクリックします。入力(Inputs)セクションと出力(Outputs)セクションが表示されます。
- 出力(Outputs)セクションで、配送に必要で、HRISアプリからソーシングされる以下のフィールドを選択します。
- セカンダリメールアドレス(Secondary email):アカウントにサインインしたことがないすべてのステージング済み(Staged)ユーザーとアクティブ(Active)ユーザーに必要です。
- メインの電話番号(Primary phone)
- 番地
- 市区町村
- 都道府県
- 郵便番号(Zip code)
- 国番号(Country Code)
- 組織(Organization)
- 保存(Save)をクリックします。
エラー処理のためにマッピングを更新する
これらの各フィールドをドラッグアンドドロップし、フロー内の対応するOktaフィールドを置き換えて、エラー処理のためにマッピングを更新します。
次に例を示します。
- 市(City)フィールドをドラッグアンドドロップしてOktaの市(Okta City)フィールドを置き換えます。すべて置換([Replace All)ダイアログが開きます。
- すべて置換([Replace All)をクリックします。これにより、フローのOktaフィールドのすべてのインスタンスがHRISフィールドに置き換えられます。
- 他のすべてのフィールドについてこれらの手順を繰り返します。
- フローを保存(Save Flow)をクリックします。
Oktaの[ユーザーの更新]カードを追加する
最後のエラー処理カードの横に、 Oktaユーザーの更新(Update User)カードを追加します。
- +アイコンの下にある雲アイコンをクリックします。
- Oktaアプリを検索します。アプリをクリックして、利用可能なアクションカードのリストを開きます。
- ユーザーの更新(Okta User)(Update User)カードをクリックしてフローに追加します。
- カードで、アプリが接続されていることを確認します。接続が正常に確立されたことを示す緑色のビュレットがアプリ名の前に表示されます。
- 保存(Save)をクリックします。入力(Inputs)セクションと出力(Outputs)セクションが表示されます。
- 入力(Inputs)セクションで、セカンダリメールアドレス(Secondary email)フィールドを選択します。セクションのその他のフィールドをすべて選択解除します。
- 出力(Outputs)セクションで、IDフィールドとセカンダリメールアドレス(Secondary email)フィールドを選択します。セクションのその他のフィールドをすべて選択解除します。
- 保存(Save)をクリックします。
- HRISからソーシングされるユーザーのセカンダリメールアドレスをOktaのセカンダリメールアドレスにマッピングします。これにより、Oktaでユーザーのセカンダリメールアドレスが更新されます。
これで、配送を作成(Create shipment)フローがHRISアプリから情報をソーシングするように設定されました。
次の手順