アプリの統合にプロビジョニングを構成する

アプリの統合を構成し、Oktaと外部アプリケーションの間のユーザーのライフサイクルを管理します。このタスクは、新規または既存のアプリの統合にプロビジョニングを追加するたびに必要になります。

1. プロビジョニング機能を持つアプリの統合をインストールします。新しいプロビジョニングアプリ統合をデプロイするための一般的なワークフローまたはプロビジョニングを既存のアプリ統合に追加するための一般的なワークフローを参照してください。

2. Admin Consoleで、アプリケーション（Applications） > アプリケーション（Applications）に移動します。

3. 検索（Search）フィールドにアプリ統合名を入力します。
4. 構成するアプリ統合の名前を選択し、プロビジョニング（Provisioning）タブをクリックします。

   「構成ガイド」には、プロビジョニング（Provisioning）設定タブからアクセスできます。このガイドでは、外部アプリとOktaの間でプロビジョニングを設定するために必要な正確な設定の詳細を説明しています。

5. API統合の構成（Confiure API Integration）（Configure API Integration）をクリックします。
6. API統合を有効化（Enable API integration）を選択します。
7. 認証フィールドに入力します。以下のフィールドがあります。

   • ユーザー名（Username）：アプリ管理者のユーザー名を入力します。

   • パスワード（Password）：提供されたユーザーアカウントのパスワードを入力します。

   • トークン（Token）：外部アプリへのアクセスに使用するセキュリティトークンを入力します。

   • Null値をプッシュ（Push Null Values）：このオプションを選択すると、OktaにNull値を渡すことができます。

   • インポートグループ（Import Groups）：デフォルトで選択されています。Oktaからアプリグループを削除するには、チェックボックスの選択を外し、インポートグループの無効化（Disable Import Groups）（Continue）ダイアログボックスで続ける（Continue）（Disable Import Groups）をクリックします。

8. API資格情報をテスト（Test API Credentials）をクリックしてAPI資格情報をテストします。エラーが発生した場合は、認証情報を確認してやり直してください。

9. 保存（Save）をクリックします。

10. ページの設定（Settings）列で、アプリへ（To App）、To Okta 、API統合（API Integration）の3つのプロビジョニング設定から選択します。利用できる設定の詳細については、「アプリへのプロビジョニングの構成設定」、「Oktaへのプロビジョニングの構成設定」、「API統合プロビジョニングの構成設定」を参照してください。
11. 編集（Edit）をクリックします。
12. プロビジョニングオプションを選択し、保存（Save）をクリックします。
13. 任意。下にスクロールして属性マッピング（Attributes Mappings）（Attribute Mappings）セクションに移動し、プロファイルエディタに進む（Go to Profile Editor）をクリックします。
    注:

    エンタイトルメント管理を使用するアプリの統合は、検出を使用してOktaとダウンストリームアプリ間で属性を自動的にマッピングします。管理者はこれらの統合の属性をマッピングできません。エンタイトル管理を備えたSCIMアプリの統合を作成するを参照してください。

14. マッピング（Mappings）をクリックし、 Oktaユーザーから へ（User to ）app name タブをクリックします。
15. 属性を編集してマッピングの保存（Save Mappings）をクリックします。
16. 今すぐ更新を適用（Apply updates now）をクリックします。

アプリへのプロビジョニングの構成設定

このページには、Oktaから外部アプリに送られるすべての情報の設定が含まれています。以下のリストのすべての機能が、すべてのアプリの統合で利用できるわけではありません。

編集（Edit）をクリックして、以下のセクションの構成設定を変更します。

• ユーザーの作成（Create Users）：Oktaが管理する各ユーザーに新しい外部アプリケーションアカウントを割り当てます。Oktaは、Oktaで指定されたユーザー名がすでに外部アプリケーションに存在することを検出した場合、アカウントを作成しません。デフォルトでは、ユーザーのOktaユーザー名が割り当てられます。

  ユーザープロファイルに加えて、Oktaは、ユーザーを作成するためのリクエストでランダムパスワードを送信します。

• ユーザー属性を更新（Update User Attributes）：そのアプリ統合に割り当てられているユーザーのプロファイルを更新し、その変更をダウンストリームアプリと同期させます。外部アプリで行われたプロファイル変更は、それぞれのOktaプロファイル値で上書きされます。
• ユーザーの非アクティブ化（Deactivate Users）：ユーザーがOktaで割り当て解除された場合、またはOktaのアカウントが非アクティブ化されている場合に、ユーザーのアカウントを自動的に非アクティブ化します。また、アプリ統合がOktaでユーザーに再割り当てされた場合、Oktaは外部アプリケーションアカウントを再アクティブ化します。
• ユーザー名の更新を除外（Exclude Username Updates）：プロファイルプッシュ機能を使用するときに、ダウンストリームアプリプロファイルによってOktaユーザープロファイルが上書きされるのを防止します。
• パスワードを同期（Sync Password）：ユーザーの外部アプリパスワードが常にOktaパスワードと同じになるようにするか、Oktaがユーザーの一意のパスワードを生成できるようにします。「パスワードをOktaからActive Directoryに同期する」を参照してください。
• プロファイル属性マッピング（Profile Attribute Mappings）：ページのこの部分を使用して、Oktaアプリ統合とユーザープロファイルの属性とマッピングを編集します。「プロファイルを管理する」を参照してください。

Oktaへのプロビジョニングの構成設定

このページには、外部アプリからOktaに送られるすべての情報の設定が含まれています。

編集（Edit）をクリックして、以下のセクションの構成設定を変更します。

• 一般（General）：このセクションを使用して、インポートをスケジューリングし、インポートされたユーザーに使用するOktaのユーザー名の形式を指定します。インポートセーフガード機能が自動的にトリガーされる前に、受け入れ可能なアプリ統合割り当てのパーセンテージを定義することもできます。プロビジョニング対応アプリ統合からのマッピングが原因でOktaユーザー名が上書きされる場合、カスタムマッピングがこのセクションに表示されます。「インポートセーフガード」を参照してください。
• ユーザーの作成と照合（User Creation & Matching）：一致ルールは、インポートを許可するすべての外部アプリとディレクトリからユーザーをインポートするときに使用されます。一致基準を確立することで、インポートしたユーザーを新規ユーザーとして定義する方法や、既存のOktaユーザーにマッピングする方法を指定できます。
  • インポートされたユーザーは、次の場合にOktaユーザーに完全一致します（Imported user is an exact match to user if）：インポートしたユーザーが既存のOktaユーザーと完全に一致するかどうかを定める一致基準。オプションのリストから任意の組み合わせを選択して、基準を作成します。新しくインポートされたユーザーが完全一致と見なされるには、選択する各オプションがtrueである必要があります。3番目のオプションを選択した場合、1番目と2番目の選択肢は無効になります。
  • 部分一致を許容（Allow partial matches）：インポートされたユーザーの姓または名が既存のOktaユーザーと一致するが、ユーザーのユーザー名またはメールアドレスは一致しない場合、部分一致となります。
  • 一致したユーザーを確認（Confirm matched users）：既存のユーザーの確認またはアクティブ化を自動化する場合に選択します。このオプションが選択されていない場合、一致は手動で確認されます。
  • 新しいユーザーを確認（Confirm new users）：選択すると、新しくインポートされたユーザーの確認またはアクティブ化が自動化されます。このオプションを選択した場合、インポートの確認時にオフにすることができます。この機能はOktaにすでに存在するユーザーには適用されません。
• プロファイルとライフサイクルのソーシング（Profile & Lifecycle Sourcing）：このセクションを使用して、現在の外部アプリがOktaユーザーのプロファイルソースとして機能できるようにします。有効にすると、外部アプリがプロファイルソースページのプロファイルソースのリストに表示されます。「プロファイルソース」を参照してください。
  • appがOktaユーザーをソースにすることを許可（Allow to source users）：ソーシングを有効にし、アプリ統合でユーザーが非アクティブ化または再アクティブ化されたときに発生するアクションを決定します。Oktaユーザーを非アクティブ化または一時停止できるのは、Oktaユーザーの中でも最も優先度の高いプロファイルソースのみです。最も優先度の高いプロファイルソースを確認するには、プロファイルソースページを確認します。「プロファイルソース」を参照してください。
  • ユーザーがアプリで非アクティブ化されている場合（When a user is deactivated in the app）：外部アプリでのアクティビティがユーザーのライフサイクルを制御しないようにするには、何もしない（［Do Nothing）を選択します。このオプションにより、属性とマッピングのプロファイルソース制御が引き続き可能になります。これ以外の選択肢は、ユーザーの非アクティブ化または一時停止です。
  • ユーザーがアプリで再アクティブ化されている場合（When a user is reactivated in the app）：外部アプリで再アクティブ化されたときに、一時停止または非アクティブ化されたOktaユーザーを再度有効にする必要があるかどうかを決定します。
    注:

    外部アプリでユーザーが再アクティブ化された場合、Oktaでも再アクティブ化が起こるようにするにはユーザープロファイルがOktaのプロファイルと完全に一致する必要があります。プロファイルが完全一致していない場合、再アクティブ化されたユーザーをインポートすると、ユーザーはアクティベーション保留中（Pending Activation）状態になります。

• インポートセーフガード（Import Safeguards）：インポートセーフガード設定は、インポートの続行を許可されている間、割り当てを解除できるorg内のユーザーの最大パーセンテージを定義します。アプリレベルと組織レベルのセーフガードはデフォルトで有効になっており、20％に設定されています。「インポートセーフガード」を参照してください。
• インラインフック（Inline Hooks）このセクションを使用して、外部アプリからOktaに新規ユーザーをインポートするプロセスに対してカスタムロジックを追加できます。プロファイル属性内の不整合を解決し、インポートされたユーザーが既存ユーザーとの一致として扱われるかどうかを制御できます。インポートのインラインフックを有効にするには、「インラインフック」を参照してください。
• Okta属性マッピング（Attribute Mappings）：ページのこの部分を使用して、Oktaアプリ統合とユーザープロファイルの属性とマッピングを編集します。「プロファイルを管理する」を参照してください。

API統合プロビジョニングの構成設定

外部アプリの中には、APIに対して認証を行うためにトークンを必要とするものがあります。アプリ名で認証（Authenticate with App Name）をクリックするとトークンが生成されます。外部アプリにリダイレクトされるので、そこで認証を行ってトークンを取得する必要があります。

次の手順

アプリの統合を割り当てる

プロビジョニングされたユーザーを管理する