Workplace by Facebook

このガイドでは、Workplace by Facebook向けにプロビジョニングを設定するために必要な手順を説明します。

機能

  • 新規ユーザーをインポート
  • プロファイルの更新をインポート
  • ユーザースキーマのインポート
  • 新規ユーザーをプッシュ
  • プロファイルの更新をプッシュ
  • パスワードの更新をプッシュ
  • ユーザーの非アクティブ化をプッシュ
  • グループをプッシュ

要件

プロビジョニング機能を有効化するには、まずFacebookから組織IDを取得する必要があります。

組織IDを取得すると、Workplace by Facebookアプリを作成し、構成できるようになります。

構成

  1. Admin Console[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  2. [Browse App Catalog(アプリカタログを参照)]をクリックします。
  3. Workplace by Facebookを探して選択し、[Add Integration(統合を追加)]をクリックします。
  4. [General Settings(一般設定)]の下で[Application label(アプリケーションラベル)][SubDomain(サブドメイン)][Organization ID(組織ID)]要件を参照)の値を入力し、[Done(完了)] をクリックします。
  5. [Provisioning(プロビジョニング)]タブを選択して[Configure API(APIを構成)]をクリックします。
  6. [Enable API integration(API統合を有効化)]をオンにし、[Authenticate with Workplace by Facebook(Workplace by Facebookで認証)]をクリックします。Workplace Organizationで新しいウィンドウが開きます。
  7. 場合によってはOktaがAPIを使用できるようにFacebook管理者の資格情報を入力する必要があります。これを行うには、[Add to Workplace(Workplaceに追加)]をクリックします。[Add Okta Identity to groups(Okta Identityをグループに追加)]オプションの[All groups(すべてのグループ)]を選択します。
  8. 一連のリダイレクトの後、新しいアプリが構成されます。[Save(保存)]をクリックして、Facebookのorg設定でこのウィンドウを閉じます。
  9. Workplace by Facebookの検証に成功したことを示すメッセージが表示されたら、[Save(保存)]をクリックします。
  10. 左パネルで[To App(アプリへ)]を選択し、有効化するプロビジョニング機能を選択して、[Save(保存)]をクリックします。

スキーマ検出

Workplace by Facebookはユーザーのスキーマ検出をサポートするため、ユーザープロファイルに他の属性を追加することができます。Oktaでこれを行うには、以下の手順に従ってください。

  1. Admin Console[Directory(ディレクトリ)][Profile Editor(プロファイルエディター)]に移動します。

  2. 左ペインから[Apps(アプリ)]セクションを選択し、リストから目的のアプリを見つけます。
  3. 属性の一覧を確認します。必要な属性が見つからない場合、[Add Attribute(属性の追加)]をクリックして拡張された属性リストを表示します。
  4. 追加する属性を選択し、[Save(保存)]をクリックします。
  5. これで、Facebookとの間でこのユーザー属性の値をインポートしたりプッシュしたりできるようになります。

位置属性

デフォルトでは、Facebookユーザーを作成またはアップデートすると、OktaはユーザーのLocation(位置)をカンマ区切りの住所プロパティ(丁目、市区町村、都道府県など)で入力します。この動作がニーズに合わないときは、次に示すようにスキーマ検出を介して[Location(位置)]フィールドをAppUserに追加し、それに従ってマップできます。

  1. [Refresh Attribute List(属性リストを更新)]をクリックします。
  2. 属性のリストから[Location(位置)]フィールドを見つけます。
  3. それをAppUserプロファイルに追加します。
  4. OktaからWorkplace by Facebookへ[Location(位置)]フィールドのマッピングを設定します。

    例:user.city > location

制限事項

Workplace by Facebookコネクターは、単一のADドメインからマネージャー/従業員の関係をプルします。OktaによるプロビジョニングをFacebookに使用して複数のADドメインからユーザーデータをプルする場合、複数のドメイン間でこれらの関係をプルできないため、Oktaはユーザーをプロビジョニングできません。

トラブルシューティング

一般的な問題をトラブルシューティングするには、以下の手順に従ってください。

管理者属性の設定

以下の表を参考に管理者属性のマッピングを構成してください。詳細については、「Okta Expression Language」を参照してください。

シナリオ 管理者属性のマッピング
管理者をWorkplace by Facebookにプッシュしない 空白
Oktaからユーザー向けに管理者のみをプッシュする user.manager
ADからインポートされたユーザー向けに管理者をプッシュする getManagerAppUser("active_directory", "facebook_at_work").userName
OktaおよびADからユーザー向けに管理者をプッシュする hasDirectoryUser() ? getManagerAppUser("active_directory", "facebook_at_work").userName : user.manager

確認済みのメンバーを追加するとグループをプッシュする際にエラーが発生する

エラー:このユーザーは親グループのメンバーではありません。

  1. Workplace by Facebookアカウントで[Admin panel(管理者パネル)][People(ユーザー)]に進みます。
  2. グループのユーザーの[Account Status(アカウントステータス)]を確認します。[Deactivated(非アクティブ化)]ステータスのユーザーは存在しないはずです。

グループは作成されたが、管理パネルにメンバーが表示されない

  1. Workplace by Facebookアカウントで[Admin panel(管理者パネル)][People(ユーザー)]に進みます。
  2. 目的のグループを見つけ、[Join as Admin(管理者として参加)]を選択します。