Oktaコネクターに関するガイダンス

フローでOktaコネクターを使用する際のガイダンスとベストプラクティスについては、次の情報をお読みください。

認証

コネクターを認可するには：

Okta Workflows OAuthアプリに割り当てられている必要があります。
スーパー管理者資格情報を持っている必要があります。

コネクターの初期認可に加え、接続の再認可に使用されるアカウントには継続的なスーパー管理者権限が必要です。

Oktaアカウントの認可には次の情報も必要です。

Domain（ドメイン）：Okta orgのドメイン。たとえば、OktaorgのURLがhttps://yourcompany.okta.comの場合、ドメインはyourcompany.okta.comです。
Client ID（クライアントID）およびClient Secret（クライアントシークレット）：Okta Workflows OAuthアプリのクライアントIDおよびクライアントシークレット。これらの値を特定するには、［Okta Admin Console］［Applications（アプリケーション）］［Okta Workflows OAuth］アプリ［Sign On（サインオン）］タブ［Sign On Methods（サインオン方式）］に移動します。

アカウントのタイプ

接続の作成に使用されるアカウントには、スーパー管理者の資格情報が含まれている必要があります。

多くの場合は、Okta Workflowsのスーパー管理者資格情報を使って特定のサービスアカウントを作成し、そのアカウントを使って接続を認可することをお勧めします。それ以外の場合、接続のセットアップに使われるOktaユーザーアカウントは、Okta Workflowsによって実行されるすべてのアクションと関連付けられます。

サポートされるスコープ

APIスコープを付与するには、Workflowsコンソールで次の手順を実行します。

［Applications（アプリケーション）］［Okta Workflows OAuth app（Okta Workflows OAuthアプリ）］［Okta API Scopes（Okta APIスコープ）］に移動します。使用可能なスコープのリストが表示されます。
付与する各スコープについてGrant（付与）をクリックします。

既存のコネクションにスコープを追加する際には、接続を再認証する必要があります。

使用可能なスコープのリスト

アスタリスク（*）で指定されたスコープは、Okta Workflows OAuthアプリから設定できません。

openid*
profile*
email*
phone*
address*
groups*
offline_access*
okta.apps.manage
okta.apps.read
okta.clients.manage
okta.clients.read
okta.clients.register
okta.deviceAssurance.manage
okta.deviceAssurance.read
okta.devices.manage
okta.devices.read
okta.eventHooks.manage
okta.eventHooks.read
okta.events.read
okta.factors.manage
okta.factors.read
okta.governance.accessCertifications.manage
okta.governance.accessCertifications.read
okta.governance.accessRequests.manage
okta.governance.accessRequests.read
okta.governance.entitlements.manage
okta.governance.entitlements.read
okta.groups.manage
okta.groups.read
okta.identitySources.manage
okta.identitySources.read
okta.idps.manage
okta.idps.read
okta.inlineHooks.manage
okta.inlineHooks.read
okta.linkedObjects.manage
okta.linkedObjects.read
okta.logs.read
okta.networkZones.manage
okta.networkZones.read
okta.policies.manage
okta.policies.read
okta.roles.manage
okta.roles.read
okta.schemas.manage
okta.schemas.read
okta.trustedOrigins.manage
okta.trustedOrigins.read
okta.users.manage
okta.users.read

ベストプラクティス

次に、Oktaカードの追加の構成情報を示します。

システムログを検索のオプション

［キーワード］フィールドで、クエリパラメーターqは、ログイベントオブジェクトの属性値に対してキーワードマッチングを実行するために使用されます。すべての入力キーワードは正確に一致する必要があります（キーワードマッチングでは大文字と小文字が区別されます）。「システムログ」を参照してください。
null値を含む属性に対してキーワードマッチングを使用した場合、値は返されません。
eq演算子を使用してキーと値の各ペアを連結してから、and演算子を使用して各種のキーを結合します。その他の演算子を使用するには、［カスタムフィルター］フィールドを使用して独自の式を構築します。それらの事前定義されたフィールドと［カスタムフィルター］フィールドは、and演算子で連結します。「システムログ」を参照してください。

Get users or groups（ユーザーまたはグループの取得）

次の例は、最初の200グループとストリーミングレコードの両方を取得するための構成を示しています。

最初の200レコード

このフローでは、月ごとにユーザーが結合された最初の200グループを取得します。

親フロー
ヘルパーフロー

ストリーミングレコード

このフローでは、特定のユーザーが結合したすべてのグループについて、1つの［Custom Field（カスタムフィールド）］値を更新します。

親フロー
ヘルパーフロー