Workplace by Facebook

このガイドでは、Workplace by Facebook向けにプロビジョニングを設定するために必要な手順を説明します。

機能

  • 新規ユーザーをインポート
  • プロファイルの更新をインポート
  • ユーザースキーマのインポート
  • 新規ユーザーをプッシュ
  • プロファイルの更新をプッシュ
  • パスワードの更新をプッシュ
  • ユーザーの非アクティブ化をプッシュ
  • グループをプッシュ

要件

プロビジョニング機能を有効化するには、まずFacebookから組織IDを取得する必要があります。

組織IDを取得すると、Workplace by Facebookアプリを作成し、構成できるようになります。

構成

  1. Admin Consoleで、アプリケーション(Applications) > アプリケーション(Applications)に移動します。

  2. アプリカタログを参照(Browse App Catalog)をクリックします。
  3. Workplace by Facebook を検索して選択し、統合を追加(Add Integration)をクリックします。
  4. 一般設定(General Settings)の下でアプリケーションラベル(Application label)サブドメイン(SubDomain)組織ID(Organization ID)要件を参照(Requirements))の値を入力し、完了(Done)をクリックします。
  5. プロビジョニング(Provisioning)タブを選択してAPIを構成(Configure API)(Configure API Integration)をクリックします。
  6. API統合を有効化(Enable API integration)をオンにし、Workplace by Facebookで認証(Authenticate with Workplace by Facebook)をクリックします。Workplace Organizationで新しいウィンドウが開きます。
  7. 場合によってはOktaがAPIを使用できるようにFacebook管理者の資格情報を入力する必要があります。これを行うには、Workplaceに追加(Add to Workplace)をクリックします。Okta Identityをグループに追加(Add Okta Identity to groups)(All groups)オプションのすべてのグループ(All groups)(Add Okta Identity to groups)を選択します。
  8. 一連のリダイレクトの後、新しいアプリが構成されます。保存(Save)をクリックして、Facebookのorg設定でこのウィンドウを閉じます。
  9. Workplace by Facebookの検証に成功したことを示すメッセージが表示されたら、保存(Save)をクリックします。
  10. 左パネルでアプリへ(To App)を選択し、有効化するプロビジョニング機能を選択して、保存(Save)をクリックします。

スキーマ検出

Workplace by Facebookはユーザーのスキーマ検出をサポートするため、ユーザープロファイルに他の属性を追加することができます。Oktaでこれを行うには、以下の手順に従ってください。

  1. Admin Consoleディレクトリ(Directory) > プロファイルエディター に進みます。

  2. 左ペインからアプリ(Apps)セクションを選択し、リストから目的のアプリを見つけます。
  3. 属性の一覧を確認します。必要な属性が見つからない場合、属性の追加(Add Attribute)をクリックして拡張された属性リストを表示します。
  4. 追加する属性を選択し、保存(Save)をクリックします。
  5. これで、Facebookとの間でこのユーザー属性の値をインポートしたりプッシュしたりできるようになります。

位置属性

デフォルトでは、Facebookユーザーを作成または更新すると、Oktaはユーザーの位置(Location)をカンマ区切りの住所プロパティ(丁目、市区町村、都道府県など)で入力します。この動作がニーズに合わないときは、次に示すようにスキーマ検出を介して位置(Location)フィールドをAppUserに追加し、それに従ってマップできます。

  1. 属性リストを更新(Refresh Attribute List)をクリックします。
  2. 属性のリストから位置(Location)フィールドを見つけます。
  3. それをAppUserプロファイルに追加します。
  4. OktaからWorkplace by Facebookへ[Location(位置)]フィールドのマッピングを設定します。

    例:user.city > location

制限事項

Workplace by Facebookコネクターは、単一のADドメインからマネージャー/従業員の関係をプルします。OktaによるプロビジョニングをFacebookに使用して複数のADドメインからユーザーデータをプルする場合、複数のドメイン間でこれらの関係をプルできないため、Oktaはユーザーをプロビジョニングできません。

トラブルシューティング

一般的な問題をトラブルシューティングするには、以下の手順に従ってください。

管理者属性の設定

以下の表を参考に管理者属性のマッピングを構成してください。詳細については、「Okta Expression Language」を参照してください。

シナリオ 管理者属性のマッピング
管理者をWorkplace by Facebookにプッシュしない 空白
Oktaからユーザー向けに管理者のみをプッシュする user.manager
ADからインポートされたユーザー向けに管理者をプッシュする getManagerAppUser("active_directory", "facebook_at_work").userName
OktaおよびADからユーザー向けに管理者をプッシュする hasDirectoryUser() ? getManagerAppUser("active_directory", "facebook_at_work").userName : user.manager

確認済みのメンバーを追加するとグループをプッシュする際にエラーが発生する

エラー:このユーザーは親グループのメンバーではありません。

  1. Workplace by Facebookアカウントで管理者パネル(Admin panel) > ユーザー(People)に進みます。
  2. グループのユーザーの[Account Status(アカウントステータス)]を確認します。非アクティブ化([Deactivated)]ステータスのユーザーは存在しないはずです。

グループは作成されたが、管理パネルにメンバーが表示されない

  1. Workplace by Facebookアカウントで管理者パネル(Admin panel) > ユーザー(People)に進みます。

  2. 目的のグループを見つけ、管理者として参加(Join as Admin)を選択します。