利用可能なWorkflows Templates

以下は現在利用可能なテンプレートのリストです。設定ドキュメントとヘルプリソースはGitHubにあります。

Workflows環境でこのテンプレートリストにアクセスするには、テンプレート機能を有効にする必要があります。

これらのテンプレートを使う方法については、「Workflows環境へのテンプレートの追加」を参照してください。

テンプレートのタイトル

テンプレートの説明

含まれるコネクタ

期間を区切ってグループメンバーシップを割り当てる

Oktaでは期間を区切ってユーザーグループにメンバーシップを付与できます。たとえば、アプリケーションに対する監査アクセスをあるグループに付与して、それが30日後に失効するようにできます。また、開発者アクセスを割り当てたい期間限定の開発プロジェクトなども例として挙げられます。

Okta

Shopify顧客のIDを自動的に同期

下流アプリケーション間でユーザーIDを一貫した形で保守することは、優れたユーザー環境、コンプライアンス、ガバナンスのため不可欠です。グループメンバーシップに基づいて下流アプリケーションを自動的にプロビジョニングすると、単純で効果的なソリューションを実現できます。このテンプレートは、Oktaのグループメンバーシップに基づいてShopify顧客を作成、更新、削除するためのブループリントになります。

Okta

Shopify

VMware Workspace ONEからデバイスのセキュリティイベントをキャプチャ

このテンプレートはVMware Workspace ONEのセキュリティイベントをリッスンし、デバイスが侵害された、またはコンプライアンスが満たされていないときキャプチャします。この情報は、ユーザーがどのシステムにアクセス可能か、および各システムのセキュリティレベルを判定するため、Oktaで使用できます。

Okta

DocuSignでのドキュメント署名のキャプチャ

多くの組織は、NDA(Non-Disclosure Agreements)、リース契約、およびユーザーがアクセス可能なリソースを定めたTOS(Terms of Service)などの契約をコントロールするためにDocuSignを使用しています。このテンプレートはDocuSignのWebhookを活用し、ユーザーがドキュメントに署名したときキャプチャします。Oktaは、この情報を使用して属性を書き込み、グループやアプリケーションのアクセスを管理するために使用できます。

Okta

GoPhishからのフィッシングイベントのキャプチャ

このテンプレートは、ユーザーがメールのフィッシング・リンクを開いたとき、またはフィッシング・ページに情報や資格情報を送信したときに、GoPhishによりキャプチャされたフィッシング・イベントをリッスンします。Oktaはこの情報を使用してログイン手順を変更し、セキュリティ・イベントの発生時にユーザーの資格情報をリセットできます。

Okta

複数のOktaイベントに関するレポートを作成

1つの目的のために複数のイベントを利用する必要がある場合があります。各フローのコピーを作成してそれらを個別にメンテナンスする代わりに、ヘルパーフローとテーブルを活用してフローの繰り返しを抑えることができます。このテンプレートは、ユーザーの作成、ユーザーのOktaプロファイルの更新、ユーザーの無効化という3つのOktaイベントからユーザー属性の日次レポートを作成するためのシンプルなパターンを示したものです。日次レポートは、毎日午前0時に実行されるスケジュールされたフローによって、Googleドライブにアップロードされます。

Okta

Googleドライブ

Googleスプレッドシートを使ってレポートを作成

多くの組織が特定のライフサイクルイベントに関するレポートについて組織固有の特別なニーズを抱えており、組織の他のユーザーとデータを共有しています。Oktaのシステムログは強力ですが、Oktaの管理者しか使えず、レポートのスケジュール設定をすることもできません。このフローは、オンラインスプレッドシートにカスタムレポートを構築(\"user suspended\"イベントを使用)し、イベント発生時にそのレポートを関係者と共有するためのものです。

Gmail

Googleスプレットシート

Okta

Onfido申請者を作成

ID検証の場合、このフローはOktaコネクター用の[User Created (作成されたユーザー)]イベントを使ってOnfido申請者を作成し、申請者IDをユーザーのOktaプロファイルに保存します。

Office 365メール

Okta

契約社員の契約満了日通知を作成

多くの組織では、フルタイム従業員に加えて契約社員も働いています。契約社員には通常、契約期限があります。これは現在の契約の満了日です。契約社員の上司など、組織の特定の人物は契約社員の契約を更新できるよう、契約満了日の前に通知を受け取る必要があります。

Office 365メール

Okta

Office 365ゲストユーザーアカウントを作成

複数のOffice 365テナントを使用する企業が増えてきています。M&A事業を行っている企業で特にこれが顕著です。このような場合、ユーザーは複数のテナントにアクセスする必要があります。多くの企業がMicrosoftのゲストアカウントを使うことでこの問題のライセンス面に対処しています。ただし、これらのユーザーの作成と管理を自動化するのは面倒な作業です。このフローを使えば、コードを使ったり、コードをホスティングする特別なインフラストラクチャを用意しなくても、ゲストアカウントを簡単に作成できます。

Office 365 Admin

Okta

Salesforceでユーザーを作成

ユーザープロビジョニングやサードパーティシステムでのユーザー作成は、Oktaのライフサイクル管理プロダクトにとって最も基本的なユースケースの1つです。Salesforceなどのシステムへのアクセスを提供するには、適切なプロフィール属性と権限を持ったアカウントをそのシステムで新規作成ユーザーのために用意する必要があります。このフローは、Salesforceでユーザーを作成し、部署に応じてユーザーにプロフィールを割り当てるのに役立ちます。

Okta

Salesforce

Okta WorkflowsによるオンプレミスPowerShellの実行

Oktaでは、Okta WorkflowsとAzure Automationの組み合わせによりPowerShellオンプレミスを実行できます。Azure Automationはクラウドベースの自動化サービスで、Microsoft Azure、オンプレミスのAzure以外、およびハイブリッドの環境の全体にわたって自動化をサポートします。

このガイドでは、IT管理者向けに、Okta Identity Cloudからのユーザーのライフサイクル管理にPowerShellの実行を組み入れるため、何が必要かについて解説します。

なし

Workflows APIエンドポイントへのフォームの送信

多くのクラウドプラットフォームサービスでは、IT管理者や開発者が、URLエンドポイントにPOST操作を行うためのフォームを構成できます。Okta Workflows APIエンドポイントへの操作により送信されるデータは、従業員のオンボーディングとオフボーディング、Oktaグループへのユーザーの追加と削除、または構成済みWorkflowsコネクタを使用してアクションを行うために使用できます。このテンプレートは、Postman、Google Forms、およびMicrosoft Formsを使用してこれらのタスクを行う方法を示したものです。

Okta

一意のメールアドレスを生成

組織にユーザーを迎え入れるために、IT担当者はOffice 365やG Suiteなど、下流アプリケーションでエンドユーザーのために一意のメールアドレスを生成する必要があります。このフローでは、Oktaに登録されているすべてのユーザーについて一意のメールアドレスが生成されます。

Google Workspace

Admin (管理者)

Office 365 Admin

Okta

一意のOktaユーザー名を生成

組織にユーザーを迎え入れるために、IT担当者は通常、各ユーザーに一意のOktaユーザー名を生成して競合を回避する必要があります。SamAccountNameやUPNなどのユーザー名はその後、Active Directoryなどの下流アプリケーションで使用されます。

Okta

ServiceNowによるプロビジョニングの承認

ServiceNowを使用している多くの組織では、元々持っているアクセス権より下位のアクセス権を取得するのに承認が必要です。作成時にデフォルトのアクセスが付いた状態でプロビジョニングされたユーザーがいるものの、プロビジョニング前に承認が必要な特定のグループアクセスがある場合があります。このフローは、ServiceNowを使ってこのようなユースケースで承認を得るのに役立ちます。

Okta

ServiceNow

メール要素チャレンジによる顧客検証の強化

顧客ID認証の強化は、セキュリティを改良し不正行為を防止するため不可欠です。顧客がオンラインとオフラインのどちらかにかかわらず、オンラインでのショッピング、レストランでのテイクアウト食品の受け取りなどあらゆる行為についてID認証を組み入れる必要があります。顧客ID認証の強化を行うと、2つの興味深い課題が生まれます。従来型の静的なパスワードベースの認証に留まらず、信頼性の高い時間ベースのワンタイムパスワード(TOTP)を含めて顧客のIDを検証することと、セキュリティに妥協することなく面倒のない操作性を提供することです。

非アクティブなOktaユーザーの識別

Oktaテナントに休眠中のアカウントがあるかどうかは、手動のプロビジョニング解除では見過ごされがちですが、特定の基準を使用して非アクティブのユーザーを判定できます。このタスクでは、非アクティブのユーザーを判定してから、高価なアプリケーションライセンスを、たとえば他のユーザーのため使用できます。このテンプレートは、Oktaテナントの中で、最後のログイン日付が特定の日より前であったすべてのユーザーを探し、それらのユーザーについての情報をWorkflowsのテーブルに書き込みます。このテーブルのデータはダウンロード用にCSVファイルにエクスポートするか、メールの添付ファイルとして定期的にレポートできます。このテンプレートをさらに拡張し、非アクティブのユーザーの資格を停止することもできます。

Okta

Googleスプレットシートからユーザーをインポート

連携されていないユーザー層(契約社員など)がいる場合や、Oktaにインポートする必要があるオフィスがある場合、CSVかフラットファイルを使えば最も簡単にこれらのユーザーをOktaに作成できます。このフローは、Googleスプレッドシートからユーザーをインポートする方法、およびFor Eachループの使い方に関するガイドとなるものです。このフローは、指定したGoogleスプレットシートからすべてのユーザーを読み取り、毎週月曜日の午前6時(米国西海岸標準時)にOktaでそれらのユーザーを作成します。

Okta

Googleスプレットシート

APIエンドポイントを使ったフローの開始

Okta Workflowsはカスタムビジネスロジックを実装するための強力なツールです。Okta REST APIを使ってOktaに直接オブジェクト (ユーザーやアプリケーション、グループなど) を作成する代わりに、JSONペイロードとともにオブジェクトリクエストをWorkflowsに送信できます。次に、カスタムビジネスロジックを実装して、Oktaの既存のオブジェクトをチェックするか、サードパーティに連絡してデータを検証できます。Workflowsは動的ロジックの結果に基づいて決定を下し、柔軟な処理オプションを提供できます。

Okta

カスタムAPI アクションについて

アクションが不足しているためにコネクタが自社のニーズに合わないことがあります。カスタムAPIアクションを使うことで、Workflowsで利用できる任意のコネクタに汎用HTTPリクエストを行って、この制限を回避できます。このフローでは、Oktaユーザープロファイルの一部としてカスタムロール属性を使用します。サポートロール属性が付いたユーザーが作成された場合、そのユーザーはOktaのHELP_DESK_ADMINロールに追加されます。

Okta

リストとヘルパーフローについて

ユーザーオブジェクトのリストやアプリケーションオブジェクトのリストなど、普段接しているデータの多くがリストとして存在しています。Workflowsでは、ヘルパーフローを活用してリストの各メンバーを操作するという包括的な方法でリストを処理できます。リストはさまざまな方法で処理されます。各アイテムについてアクションを個別に実行し、親フローに何も返さないことも珍しくありません。また、アイテムごとの繰り返し実行による累積的な出力を保持し、親フローに返すこともできます。他にも多くのリスト操作があります。親フローについてを参照してください。

ヘルパーフローは、独立したフローとして存在するサブルーチンに過ぎませんが、メインまたは親フローからしか呼び出せません。ヘルパーフローは、前に紹介したリスト処理だけでなく、コードの再利用性、チームの貢献、コードのクリーンアップの面でも大きな威力を発揮します。

Okta

Slack

G Suiteへの未加工HTTPリクエストの作成

現行のGoogle Workspaceコネクタは、Google Workspace API 内ですべてのエンドポイントへのアクセスを行えません。カスタムAPIアクションカードも、Directory APIとLicensing APIに制限されています。このテンプレートを使用して未加工のHTTPリクエストを作成し、必要なスコープを取得できます。

Google Workspace管理

HTTPリクエストカードを使ったAPIリクエスト

Webサービスと連携している多くの組織では、HTTP(S)エンドポイントで保護されたSaaSアプリケーション(またはAPIゲートウェイ経由で保護されたオンプレミスAPI)を呼び出せるようにするための要件があります。このフローは、GET操作とPOST操作用のOkta Workflows HTTP未加工リクエストカードの使い方について示したもので、jsonとx-www-form-urlencodedのサンプルContent-Typeが付属しています。また、さまざまなWorkflowsカードを使ってJSONを処理する方法についても示されています。

なし

AWS SSOエンタイトルメントを管理

AWS SSOコネクターでは、OktaおよびAWSのユーザーとグループのエンタイトルメント(アカウントと権限のセット)を追加、削除できます。OINカタログで利用可能なAWS SSO SCIMプロビジョニングアプリと連携してこのコネクターは動作します。OktaユーザーがOktaグループに追加、または削除されるとこのテンプレートのフローがトリガーされます。Oktaグループがエンタイトルメントを保持し、それと連動する形でユーザーがAWSで更新されます。ヘルパーフローとテーブルを使ってエンタイトルメントの追加と削除を行う方法について、2つの例を示します。

AWS SSO

Okta

G Suiteユーザーライセンスの管理

このテンプレートは、G Suiteのユーザーを無効化し、指定した期間が経過した後で、そのユーザーに割り当てられているG Suiteライセンスを削除するものです。このフローには、ユーザーをG Suiteで再アクティブ化し、以前に削除したG Suiteライセンスを再割り当てする部分もあります。

Gmail

Google Workspace管理

Okta

プロフィール属性に基づいてOktaグループメンバーシップを管理

多くの組織では、ジョブコードに基づいて、またはより一般的にはロールベースのアクセス制御 (RBAC) を実装するためのユーザープロファイル属性によって、一連のOktaグループメンバーシップが決定されています。このフローは、ユーザープロファイル属性に基づくグループの割り当てを示したものです。

Okta

OktaとSlackによるアクセスリクエスト管理の現代化

このテンプレートは、Slackをコラボレーションツールおよびインターフェイスとして利用し、リクエストのライフサイクルにおいて現代的なエンドユーザーエクスペリエンスを実現します。SlackワークスペースでOkta Identity Cloudテナントと連携するための、カスタムSlackアプリケーションが含まれています。リクエストを正しく実行して追跡するため、このソリューションではヘルパーフロー、内部テーブル、Oktaコネクタ、Slackコネクタが使用されています。

Okta

Slack

新規ユーザーの登録

顧客IDとアクセス管理のユースケースでは、多くの事業部、ロケール、ブランドで個別のユーザー管理業務が必要になる場合があります。このテンプレートは、登録コンテキストのカスタム処理の実装方法を示したものです。

Okta

プロフィール更新時にユーザーに通知

人事がスケジュールを設定した変更やユーザー自身による個人情報の変更、何らかの形の自動変更など、ユーザープロフィールはさまざまな理由によって更新されることがあります。しかし、ユーザープロフィールのデータが正確で、ユーザーや権限のある管理者によって悪意のない形で更新されたことを常に把握する方法はあるのでしょうか。このフローではメッセージを送信(メールやSlackなどで)して、プロフィールが更新されたことをユーザーに通知し、プロフィールの変更内容を確認するようユーザーに促すことができます。

Okta

Slack

Office 365 Adminでのオンボードとオフボード

このフローでは、Office 365 Adminのユーザーを無効化し、指定した期間が経過した後でそのユーザーに割り当てられているOffice 365ライセンスを削除できます。また、Office 365 Adminのユーザーを再度有効にし、以前削除したOffice 365 Adminライセンスを再度割り当てることもできます。

Office 365 Admin

Okta

SendGridによるパスワード変更の通知

エンドユーザーのセキュリテイは、すべてCIAM顧客にとって大きな懸念です。エンドユーザーに対して、そのユーザーのパスワードが変更されたときに通知し、知らないうちにパスワードが変更された場合に警告することができれば、アカウント乗っ取りの危険を軽減できます。この通知は、複数のアプリケーションブランドにわたってブランディングすることが重要です。Workflowsはパスワード変更イベントに対応し、エンドユーザーにカスタマイズされた通知を送信します。フローを開始するトリガーイベントは、Okta Identity PlatformでのUser Password Changedイベントです。このイベントは、ユーザーがセルフサービスのパスワード変更を開始した、またはパスワードが管理アクションによって設定された場合に発生します。カスタマイズされたHTMLメールテンプレートが構築され、ユーザーとイベントのコンテキストを動的に代替します。

Okta

SendGrid

ユーザーをアクティブ化する前に、SMSの多要素認証に事前登録する

ユーザーをアクティブ化すると、通常はユーザーが最初にサインインするときMFA要素を選択して登録できます。ユーザーのIDをサインイン時に検証してセキュリティを強化するため、Active DirectoryやHRシステムからプルされたプロファイルの電話番号を使用して、ユーザーをSMS要素に事前登録できます。このフローは、このプロセスを自動化するもので、ユーザーがアクティブ化の通知を受信することを承認されており、自社のリソースにアクセス可能なことを確認します。

Gmail

Okta

Boxによるプロビジョニング解除時のファイル再割り当て

このテンプレートは、ユーザー用のBoxアカウントを作成し、フォルダを作成して、ユーザーのマネージャーにメールで通知を送信します。また、このフローはユーザーが特定のOktaグループから削除されると、ユーザーのBoxファイルとフォルダをマネージャーに転送します。

Box

Office 365メール

Okta

Googleドライブでのファイルの再割り当てとプロビジョニング解除

Googleドライブを使用している多くの組織では、ユーザーのGoogleドライブにあるコンテンツを別のユーザーに転送することに関して要件が設けられています。このようなケースでは、無効にしなければならないユーザーがいる場合があります。このフローを使うことで、ユーザーのGoogleドライブから上司にファイルを転送し、ユーザーを削除できます。

Googleドライブ

オンプレミスのLDAP Mulesoftを参照

このテンプレートは、LDAPリポジトリを参照して、Okta Workflows全体を検索する方法を示したサンプルです。このテンプレートは変更して、SQLデータベースなどあらゆる種類のリポジトリに適用できます。この例では、Mulesoft Anypointプラットフォームを活用して、Okta Workflowsで利用するAPIエンドポイントをホストしています。

なし

同期を削除

レガシーシステムが廃止されるまでメンテナンスが必要な、複数のユーザーストアを多くのCIAM顧客が保有しています。Oktaで取得したID情報が変更されたら、それらの属性を下位に同期する必要があります。このテンプレートでは、実装が簡単で、自由にカスタマイズできる方法を使ってCRUD(作成、更新、削除)操作でリモートシステムを更新できます。

Okta

疑わしいアクティビティーの報告

エンドユーザーはこのテンプレートを使用して、アカウントのアクティビティー・メールの通知から、認識されていないアクティビティーを報告できます。エンドユーザーがセキュリティのメール通知を受信した場合、[Report Suspicious Activity(疑わしいアクティビティーの報告)]をクリックして報告を送信できます。アクティビティーがレビューされると、報告が確認され、完了されます。

Okta

Slack

アプリケーションの新規ユーザーに、「ようこそ」メールを送信します。

「ようこそ」メールは、組織が新しい顧客や従業員に送る最初のあいさつです。「ようこそ」メールには特別なプロモーションコードや、ユーザー環境を拡張するための情報も記載できますし、単なる歓迎の言葉だけでもかまいせん。このテンプレートは、新規ユーザーに「ようこそ」メールを自動的に送信する方法を示したものです。

Gmail

Okta

上司にActive Directoryの資格情報を送信

多くの組織がユーザーの資格情報を管理するためにMicrosoft Active Directory (別名AD DelAuth) を使用しています。OktaとActive Directoryの連携によりユーザープロビジョニングが可能となっていますが、組織はユーザーにアカウント資格情報を伝えられるソリューションを必要としています。新入社員が入社してくる際、企業ではあらかじめ新入社員のアカウントを設定しておく必要がある場合があります。しかし、この新入社員は入社日までシステムやメールを利用できません。このようなシナリオでは、企業が新入社員の上司にワンタイムパスワード付きのアカウント資格情報をメールで送信できます。このフローは、Oktaの「アプリケーションへのユーザーの割り当て」イベントを使った、Active Directoryに追加されたユーザーの特定、これらのユーザーの上司のメールアドレスの取得、メール通知の送信の方法を示したものです。

Office 365メール

Okta

Office 365を使ってメール通知を送信

このフローでは、ユーザーがOktaで停止された時にOffice 365を使ってメール通知を送信します。管理者はユーザーの停止を簡単に追跡できます。こちらは汎用的な通知テンプレートとなっています。通知のユースケースに合わせて、イベントとメールプロバイダー(Gmailへの切り替え)の両方を簡単に切り替えることができます。

Okta

Office 365メール

添付ファイル付きのメールの送信

このテンプレートは、Gmailを使用して、Googleドライブからの添付ファイル付きメールを送信する方法を示したものです。

Gmail

Googleドライブ

Okta

TwilioからSMSを送信

このフローではTwilioからSMSメッセージを送信できます。

なし

アクティブでないユーザーを停止

多くの組織で、特定のユーザーにしか必要ないアクセスが別のユーザーにも長期間にわたって付与されたままになっている傾向にあります。1つのアプリにしかアクセスする必要がない契約社員がいる組織もあれば、退職した社員に対して十分な退職ポリシーが適用されていない組織もあります。たとえば、数か月にわたってログインしていないユーザーがいる場合、実際にアクセスする必要があることがわかるまでそのユーザーを停止したいことがあります。強力なセキュリティ体制を実現するためにこのようなポリシーを導入します。このフローは環境内のすべてのアクティブユーザーを読み取り、過去6か月 (180日) 以内にログインしていないユーザーがいればそのユーザーを停止します。

Okta

疑わしいアクティビティイベントのPagerDuty警告

Oktaでは、ユーザーが疑わしいものと認識していないアクティビティについて、組織の管理者に報告を行えます。報告された疑わしいアクティビティをただちに調査することは、不正行為の予防と阻止に不可欠です。疑わしいアクティビティが報告されたとき、PagerDutyにインシデントを自動的に作成して、社内チームがさらに調査できるようにするには、どのようにすればいいでしょうか。このテンプレートは、疑わしいアクティビティが報告されたとき、PagerDutyにインシデントを自動的に作成する例を示したものです。

Okta

PagerDuty

ユーザーに対してMFAを一時的に免除

従業員が携帯電話を紛失して交換することは珍しくありません。セカンダリ認証情報をリセットできるよう一時的なアクセスを許可するため、ユーザーが確実性の高いサインオンポリシーに準拠できるデバイスを入手するまでの間、厳格性の低い認証ポリシーを適用できます。このテンプレートは、定義された時間だけ、Oktaユーザーに対してMFAポリシーを免除します。

Okta

特殊文字の検証と置き換え

ユーザーの名前を使ってsamAccountNameなどの技術的なフィールドとメールアドレスを生成する場合、指定したデータフィールドで使用できない文字がデータに含まれていることがよくあります(メールアドレス内のスペースなど)。このテンプレートは、最も一般的な特殊文字のいくつかを識別し、置き換えを行います。検証または修復された名前はその後Oktaのユーザープロファイル属性に配置されるため、表示目的で元の名前を維持し、技術的な目的で名前を更新するのに利用できます。

Okta

関連項目

Workflows環境へのテンプレートの追加