YubiKey配送用のOkta Workflowsをセットアップする
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
この手順では、Okta Workflowsを使用してYubico orgとOkta orgを接続する方法について説明します。このワークフローは、ユーザー向けの事前登録されたYubiKeyを注文するとトリガーされます。このワークフローでは、ユーザーのYubiKeyを登録してアクティブ化し、Yubico orgに配送注文を作成し、ユーザーにPINを送信します。
配送情報がServiceNowやWorkdayなどのHRIS(人事情報システム)アプリからソーシングされる場合は、そのアプリもOkta Workflowsで接続する必要があります。
開始する前に
「事前登録されたYubiKeyを使用したフィッシング耐性のある認証を必須とする」へのジャーニーの2番目の部分には、Okta Workflowsコンソールで実行するタスクが含まれます。「FIDO2(WebAuthn)Authenticatorとフィッシング耐性のあるポリシーをセットアップする」を完了してからこの手順に進んでください。
Okta orgから接続を作成する
- Okta orgから接続を作成します。「Oktaコネクターを承認する」を参照してください。
- Oktaデバイスの接続を作成します。「Oktaデバイスコネクターを承認する」を参照してください。
Yubico orgから接続を作成する
- Yubico orgでAPIトークンを生成します。に移動します。
- トークンをコピーして安全な場所に保管します。
- Okta Workflowsコンソールで、に移動します。
- Yubicoコネクターを選択します。
-
[New Connection(新規接続)]ウィンドウで、[Connection Nickname(接続ニックネーム)]を入力します。これは接続のリスト中に表示される表示名です。
- [API Secret(APIシークレット)]で、YubicoからAPIトークンを張り付けて[Create(作成)]をクリックします。
事前登録されたYubiKey用のOkta Workflowsテンプレートをセットアップする
- 事前登録されたYubiKeyテンプレートをWorkflows環境に追加します。「利用可能なWorkflowsテンプレート」を参照してください。
- テンプレートフォルダに次のフローがあることを確認します。
- 配送の作成トリガー - MFA開始
- 配送の作成トリガー - グループの追加
- 配送の処理(クローンジョブ)
- 配送の作成
- 登録APIの呼び出し
- 資格情報JWEのマッピング
- FactorIDのキーIDへのマッピング
- 配送の処理
- 配送アイテムの反復処理
- 製品データの処理
- アクティブ化APIの呼び出し
- 資格情報レスポンスの登録IDへのマッピング
フローでOktaおよびYubico接続をアクティブ化する
各フローをOkta orgまたはYubico orgに接続します。各フローについて次の手順を実行します。
- フローを開き、OktaまたはYubico接続を含むカードを見つけます。
- [Choose connection(接続を選択)]をクリックします。
- Okta orgまたはYubico orgを選択します。[Save(保存)]をクリックします。OktaとYubicoの横に、接続が正常に確立されたことを示す緑色のチェックマークが 表示されます。
- 他のすべてのカードとテンプレート内のフローについてこの手順を繰り返します。
-
フォルダに戻り、[On/Off(オン/オフ)]スイッチを切り替えて各フローをオンにします。Oktaでは、[Create shipment trigger - Group add(配送の作成トリガー - グループの追加)]アプリイベントフローをオフにすることを推奨します。一度に1つのアプリイベントフローのみをオンにしてください。フォルダは次のようになります。
配送の作成フローを更新してHRISを統合する
この手順は、ユーザーの配送情報が外部のHRISアプリ(ServiceNowやWorkdayなど)からソーシングされる場合にのみ必要です。この情報がOktaからソーシングされる場合は、この手順をスキップしてください。
Okta Workflowsテンプレートは、Okta Universal Directoryを配送情報のソースとして使用するように設定されています。この情報がHRISからソーシングされる場合は、[Create shipment(配送の作成)]フローを更新してこの情報をフローにインポートする必要があります。
更新後のフローは次のようになります。
HRISからの接続を作成する
HRISアプリからの接続を作成します。「接続を構成する」を参照してください。これにより、HRISアプリがOkta Workflowsに接続されます。
HRIS用の[ユーザーの読み取り]カードを作成する
[Create shipment(配送の作成)]フローの[Okta Read User(Oktaユーザーの読み取り)]カードの横に、HRISアプリ用の[Read User(ユーザーの読み取り)]カードを追加します。
- +アイコンの下にある雲アイコンをクリックします。
- HRISアプリを検索します。アプリをクリックして、利用可能なアクションカードのリストを開きます。
- [Read User(ユーザーの読み取り)]カードをクリックしてフローに追加します。アプリによってはこのカードの名前が異なる場合があります。たとえば、Workdayでは、[Read Worker(ワーカーの読み取り)]カードという名前です。
- カードで、アプリが接続されていることを確認します。接続が正常に確立されたことを示す緑色のビュレットがアプリ名の前に表示されます。
- [Save(保存)]をクリックします。[Inputs(入力)]セクションと[Outputs(出力)]セクションが表示されます。
- [Outputs(出力)]セクションで、配送に必要で、HRISアプリからソーシングされる以下のフィールドを選択します。
- Secondary email(セカンダリメールアドレス):アカウントにサインインしたことがないすべての[Staged(ステージング済み)]ユーザーと[Active(アクティブ)]ユーザーに必要です。
- Primary phone(メインの電話番号)
- Street Address(番地)
- City(市区町村)
- State(状態)
- Zip code(郵便番号)
- Country Code(国番号)
- Organization(組織)
- [Save(保存)]をクリックします。
エラー処理のためにマッピングを更新する
これらの各フィールドをドラッグアンドドロップし、対応するOktaフィールドを置き換えて、エラー処理のためにマッピングを更新します。
次に例を示します。
- [City(市)]フィールドをドラッグアンドドロップして[Okta City(Oktaの市)]フィールドを置き換えます。[Replace All(すべて置換)ダイアログが開きます。
- [Replace All(すべて置換)をクリックします。これにより、フローのOktaフィールドのすべてのインスタンスがHRISフィールドに置き換えられます。
- 他のすべてのフィールドについてこれらの手順を繰り返します。
- [Save Flow(フローを保存)]をクリックします。
Oktaの[ユーザーの更新]カードを追加する
最後のエラー処理カードの横に、[Okta Update User(Oktaユーザーの更新)]カードを追加します。
- +アイコンの下にある雲アイコンをクリックします。
- Oktaアプリを検索します。アプリをクリックして、利用可能なアクションカードのリストを開きます。
- [Okta User(ユーザーの更新)]カードをクリックしてフローに追加します。
- カードで、アプリが接続されていることを確認します。接続が正常に確立されたことを示す緑色のビュレットがアプリ名の前に表示されます。
- [Save(保存)]をクリックします。[Inputs(入力)]セクションと[Outputs(出力)]セクションが表示されます。
- [Inputs(入力)]セクションで、[Secondary email(セカンダリメールアドレス)]フィールドを選択します。選択のその他のフィールドをすべて選択解除します。
- [Outputs(出力)]セクションで、[ID]フィールドと[Secondary email(セカンダリメールアドレス)]フィールドを選択します。選択のその他のフィールドをすべて選択解除します。
- [Save(保存)]をクリックします。
- HRISからソーシングされるユーザーのセカンダリメールアドレスをOktaのセカンダリメールアドレスにマッピングします。これにより、Oktaでユーザーのセカンダリメールアドレスが更新されます。
これで、[Create shipment(配送を作成)]フローがHRISアプリから情報をソーシングするように設定されました。