Oktaコネクターに関するガイダンス
フローでOktaコネクターを使用する際のガイダンスとベストプラクティスについては、次の情報をお読みください。
認証
コネクターを認可するには:
- Okta Workflows OAuthアプリに割り当てられている必要があります。
- スーパー管理者資格情報を持っている必要があります。
コネクターの初期認可に加え、接続の再認可に使用されるアカウントには継続的なスーパー管理者権限が必要です。
Oktaアカウントの認可には次の情報も必要です。
- Domain(ドメイン):Okta orgのドメイン。たとえば、OktaorgのURLがhttps://yourcompany.okta.comの場合、ドメインはyourcompany.okta.comです。
- Client ID(クライアントID)およびClient Secret(クライアントシークレット):Okta Workflows OAuthアプリのクライアントIDおよびクライアントシークレット。これらの値を特定するには、 に移動します。
アカウントのタイプ
接続の作成に使用されるアカウントには、スーパー管理者の資格情報が含まれている必要があります。
多くの場合は、Okta Workflowsのスーパー管理者資格情報を使って特定のサービスアカウントを作成し、そのアカウントを使って接続を認可することをお勧めします。それ以外の場合、接続のセットアップに使われるOktaユーザーアカウントは、Okta Workflowsによって実行されるすべてのアクションと関連付けられます。
サポートされるスコープ
APIスコープを付与するには、Workflowsコンソールで次の手順を実行します。
- に移動します。使用可能なスコープのリストが表示されます。
- 付与する各スコープについてGrant(付与)をクリックします。
既存のコネクションにスコープを追加する際には、接続を再認証する必要があります。
使用可能なスコープのリスト
アスタリスク(*)で指定されたスコープは、Okta Workflows OAuthアプリから設定できません。
- openid*
- profile*
- email*
- phone*
- address*
- groups*
- offline_access*
- okta.apps.manage
- okta.apps.read
- okta.clients.manage
- okta.clients.read
- okta.clients.register
- okta.deviceAssurance.manage
- okta.deviceAssurance.read
- okta.devices.manage
- okta.devices.read
- okta.eventHooks.manage
- okta.eventHooks.read
- okta.events.read
- okta.factors.manage
- okta.factors.read
- okta.governance.accessCertifications.manage
- okta.governance.accessCertifications.read
- okta.governance.accessRequests.manage
- okta.governance.accessRequests.read
- okta.governance.entitlements.manage
- okta.governance.entitlements.read
- okta.groups.manage
- okta.groups.read
- okta.identitySources.manage
- okta.identitySources.read
- okta.idps.manage
- okta.idps.read
- okta.inlineHooks.manage
- okta.inlineHooks.read
- okta.linkedObjects.manage
- okta.linkedObjects.read
- okta.logs.read
- okta.networkZones.manage
- okta.networkZones.read
- okta.policies.manage
- okta.policies.read
- okta.roles.manage
- okta.roles.read
- okta.schemas.manage
- okta.schemas.read
- okta.trustedOrigins.manage
- okta.trustedOrigins.read
- okta.users.manage
- okta.users.read
ベストプラクティス
次に、Oktaカードの追加の構成情報を示します。
システムログを検索のオプション
- [キーワード]フィールドで、クエリパラメーターqは、ログイベントオブジェクトの属性値に対してキーワードマッチングを実行するために使用されます。すべての入力キーワードは正確に一致する必要があります(キーワードマッチングでは大文字と小文字が区別されます)。「システムログ」を参照してください。
- null値を含む属性に対してキーワードマッチングを使用した場合、値は返されません。
- eq演算子を使用してキーと値の各ペアを連結してから、and演算子を使用して各種のキーを結合します。その他の演算子を使用するには、[カスタムフィルター]フィールドを使用して独自の式を構築します。それらの事前定義されたフィールドと[カスタムフィルター]フィールドは、and演算子で連結します。「システムログ」を参照してください。
Get users or groups(ユーザーまたはグループの取得)
次の例は、最初の200グループとストリーミングレコードの両方を取得するための構成を示しています。
最初の200レコード
このフローでは、月ごとにユーザーが結合された最初の200グループを取得します。
ストリーミングレコード
このフローでは、特定のユーザーが結合したすべてのグループについて、1つの[Custom Field(カスタムフィールド)]値を更新します。