利用可能なWorkflowsテンプレート

期間限定でOktaユーザーグループにメンバーシップを付与します。たとえば、アプリケーションに対する監査アクセスをあるグループに付与して、それが30日後に失効するようにできます。また、開発者アクセスを割り当てたい期間限定の開発プロジェクトなども例として挙げられます。

Okta orgへの管理者アクセスを定期的に監査すると、ユーザーが適切な管理者ロールを持っていることを確認するのに役立ちます。監査は、アクティビティに基づいて、管理者アクセスが不要になった可能性のあるユーザーを特定するのにも役立ちます。このテンプレートはすべての管理者ユーザー（Okta Admin Consoleに割り当てられているユーザー）を識別し、割り当てられている管理者ロールや、Okta Admin consoleへの最終ログインなどの情報をテーブルに更新します。

放棄されたアカウントは、強力なパスワードと多要素認証を使用している可能性は低いと考えられます。このテンプレートは、Okta Workflowsを使用してこのような放棄されたアカウントを削除することで、アプリケーションの全体的なセキュリティを強化する方法を示しています。このテンプレートを使用すると、非アクティブなユーザーにアカウントの期限切れについて自動的に警告し、そのアカウントが非アクティブのままであればAuth0からユーザーを削除することができます。

1つの目的のために複数のイベントを利用する必要がある場合があります。各フローのコピーを作成してそれらを個別にメンテナンスする代わりに、ヘルパーフローとテーブルを活用してフローの繰り返しを抑えることができます。このテンプレートは、User Created（ユーザーの作成）、User Okta Profile（ユーザーのOktaプロファイルの更新）、User Deactivated（ユーザーの非アクティブ化）という3つのOktaイベントからユーザー属性の日次レポートを作成するためのシンプルなパターンを示したものです。テンプレートは、毎日午前0時に実行されるスケジュールされたフローによって、Googleドライブに日時レポートをアップロードします。

多要素認証（MFA）消耗攻撃は、攻撃者がユーザーの認証アプリにプッシュ通知を大量に送信するために使用する方法です。ユーザーがプッシュ通知を受け入れると、攻撃者はアカウントまたはデバイスに侵入できるようになります。これらのテンプレートは、Okta orgに対するアクティブな攻撃を検出して対応する手段を提供します。

このテンプレートは、Okta Verifyによるプッシュ通知の送信時にフローをトリガーするイベントフックを使用します。

このフローは、サインインリクエスト（ソース）と成功したOkta VerifyPush（宛先）の両方の位置情報（都市、都道府県、国）をチェックします。都市が異なる場合、フローはセキュリティチームによる調査用に情報収集を継続します。

このフローは、ビジネスニーズに基づいてその他のダウンストリームアプリケーションに通知するように簡単に修正できます。

このテンプレートは、SMSの要素としての登録と使用を監視することで、Oktaエンドユーザーがより強力な要素をアカウントに登録することを奨励します。

さまざまなクラウドプラットフォームサービスでは、IT管理者や開発者が、URLエンドポイントにPOST操作を送信できるフォームを構成できます。Workflows APIエンドポイントへの操作により送信されるデータは、従業員のオンボーディングやオフボーディング、Oktaグループへのユーザーの追加と削除、または構成済みWorkflows Connectorを使用するために使用できます。このテンプレートは、Postman、Google Forms、Microsoft Formsを使用してこれらのタスクを行う方法を示したものです。

IT管理者は、組織内で新入社員を追加するために一意のOktaユーザー名を持っている必要があります。このテンプレートは、インラインフックとWorkflowsを使用して、インポートされたユーザーがOkta Universal Directory内に存在するかどうかを確認します。ユーザーが存在する場合、テンプレートはユーザー名をインクリメントして一意にします。例：jessiedoe1@example.com。

カスタマーアイデンティティ認証の強化は、セキュリティを改良し不正行為を防止するため不可欠です。顧客がオンラインとオフラインのどちらかにかかわらず、オンラインでのショッピング、レストランでのテイクアウト食品の受け取りなどあらゆる行為についてID認証を組み入れる必要があります。カスタマーアイデンティティ認証を強化すると、2つの興味深い課題が生じます。1つ目は、信頼性に優れた時間ベースのワンタイムパスワード（TOTP）を含めるための、従来の静的パスワードベース認証を超えた顧客の本人確認です。次に、セキュリティを損なうことなく、摩擦のないエクスペリエンスを提供し続けることです。

Oktaテナントに休眠中のアカウントがあるかどうかは、手動のデプロビジョニングでは見過ごされがちですが、特定の基準を使用して非アクティブのユーザーを判定できます。このタスクでは、非アクティブのユーザーを判定してから、高価なアプリケーションライセンスを、たとえば他のユーザーのため使用できます。このテンプレートは、Oktaテナントの中で、最後のサインイン日付が特定の日より前であったすべてのユーザーを探し、それらのユーザーについての情報をWorkflowsのテーブルに更新します。このテーブルのデータはダウンロード用にCSVファイルにエクスポートするか、メールの添付ファイルとして定期的にレポートできます。このテンプレートをさらに拡張し、非アクティブのユーザーの資格を停止することもできます。

Okta Workflowsはカスタムビジネスロジックを実装するための強力なツールです。REST APIを使ってOktaに直接オブジェクト（ユーザーやアプリケーション、グループなど）を作成する代わりに、JSONペイロードとともにオブジェクトリクエストをWorkflowsに送信できます。次に、カスタムビジネスロジックを実装して、Oktaの既存のオブジェクトをチェックするか、サードパーティに連絡してデータを検証できます。動的ロジックの結果に基づいて、Workflowsはアクションに対する決定を下し、柔軟な処理オプションを提供できます。

アクションが不足しているためにコネクターがニーズに合わないことがあります。カスタムAPIアクションを使うと、Workflowsで利用できる任意のコネクターに汎用HTTPリクエストを行って、この制限を回避できます。このフローでは、Oktaユーザープロファイルの一部としてカスタムロール属性を使用します。サポートロール属性が付いたユーザーが作成された場合、そのユーザーはOktaのHELP_DESK_ADMINロールに追加されます。

ユーザーオブジェクトやアプリケーションオブジェクトなど、大量のデータがリスト形式で存在します。Okta Workflowsでは、ヘルパーフローを使用してリストの各メンバーを操作するという包括的な方法でリストを処理できます。リストはさまざまな方法で処理されます。各アイテムについてアクションを個別に実行し、親フローに何も返さないことも珍しくありません。また、アイテムごとの繰り返し実行による累積的な出力を保持し、親フローに返すこともできます。他にも多くのリスト操作があります。「親フローとその他のフロータイプ」を参照してください。

ヘルパーフローは、独立したフローとして存在するサブルーチンに過ぎませんが、メインまたは親フローからしか呼び出せません。ヘルパーフローは、リストの処理だけでなく、コードの再利用、チームの貢献の評価、コードのクリーンアップにも役立ちます。

このテンプレートは、Okta WorkflowsがAuth0の重複する顧客アカウントを自動的にリンクすることで、顧客IDの管理を効率化できることを示しています。このテンプレートは、Webサイトにサインインするすべての新規ユーザーのメールアドレスを既存のユーザーベースに照らして確認します。重複が見つかると、ユーザーの2つのAuth0を自動的にリンクします。

Webサービスと連携している多くのOrganizationでは、セキュアなHTTPSエンドポイントを使用して、APIゲートウェイで保護されたSaaSアプリケーションまたはオンプレミスAPIを呼び出す必要があります。このフローは、GET操作とPOST操作用のOkta Workflows HTTP未加工リクエストカードの使い方を、いくつかのサンプルコンテンツで示したものです。また、さまざまなWorkflowsカードを使ってJSONを処理する方法についても示されています。

多くのOrganizationでは、ジョブコードに基づいて、またはより一般的にはロールベースのアクセス制御（RBAC）を実装するユーザープロファイル属性によって、一連のOktaグループメンバーシップが決定されています。このフローは、ユーザープロファイル属性に基づくグループの割り当てを示したものです。

このテンプレートは、フィッシング試行の失敗時にフローをトリガーするイベントフックを使用します。フローは、さらなる調査のためにフィッシングサイトのIPアドレスと影響を受けるユーザーをSlackチャンネルに送信します。

カスタマーアイデンティティとアクセス管理（CIAM）のユースケースでは、多くの事業部、ロケール、ブランドで個別のユーザー管理業務が必要になる場合があります。このテンプレートは、登録コンテキストのカスタム処理の実装方法を示したものです。

人事がスケジュールを設定した変更やユーザー自身による個人情報の変更、何らかの形の自動変更など、ユーザープロファイルはさまざまな理由によって更新されることがあります。しかし、ユーザープロファイルのデータが正確で、ユーザーや権限のある管理者によって悪意のない形で更新されたことを常に把握する方法はあるのでしょうか。このフローでは、メッセージ（メールまたはSlack経由など）を送信してユーザーにプロファイルの更新を知らせることができます。その後、変更をレビューして確定できます。

ユーザーをアクティブ化すると、通常はユーザーが最初にサインインするときMFA要素を選択して登録できます。サインイン時にユーザーのIDを検証することで、セキュリティ体制を改善します。ユーザーは、Active Directoryまたは人事システムからプロファイルの電話番号を使用して、SMS要素に登録できます。このフローは、このプロセスを自動化するもので、ユーザーがアクティブ化の通知を受信することを承認されており、自社のリソースにアクセス可能なことを確認します。

不正アカウントに対するアクションの実行は、どのようなOrganizationのセキュリティ体制の増強にも役立ちます。Splunkのような外部システムは、不正アカウントであることを示す可能性がある特定のパターンを求めて常にデータを分析しています。アカウントを特定できれば、Organizationはそのアカウントを隔離し、重要アプリケーションへのそれ以上のアクセスを防止できます。

Webhookとして公開されると、外部システムはこのフローを呼び出して、ユーザーを検疫グループに追加することにより、インシデント対応の取り組みを支援できます。この検疫グループは、アクセスを拒否する個々のアプリケーションサインオンポリシーに関連付けられています。フローの最後で、Oktaはユーザーセッションをクリアし、ユーザーに再認証を強制します。ユーザーのアクセス先は、隔離されたイベントと関連付けられていないアプリケーションのみに制限されるようになります。

このフローを拡張すれば、SlackやMicrosoft Teamsなどのコラボレーションツールへのメールやメッセージによってエンドユーザー、マネージャー、管理者に通知することができます。

このテンプレートは、LDAPリポジトリーを参照して、Okta Workflows全体を検索する方法を示したサンプルです。このテンプレートは変更して、SQLデータベースなどあらゆる種類のリポジトリに適用できます。この例では、Mulesoft Anypointプラットフォームを活用して、Okta Workflowsが利用するAPIエンドポイントをホストしています。

レガシーシステムが廃止されるまでメンテナンスが必要な、複数のユーザーストアを多くのCIAM顧客が保有しています。Oktaで取得したID情報が変更されたら、それらの属性をダウンストリームに同期する必要があります。このテンプレートでは、実装が簡単で、自由にカスタマイズできる方法を使ってCRUD（作成・更新・削除）操作でリモートシステムを更新できます。

エンドユーザーはこのテンプレートを使用して、アカウントのアクティビティに関するメール通知から、認識されないアクティビティを報告できます。エンドユーザーがセキュリティのメール通知を受信した場合、［Report Suspicious Activity（疑わしいアクティビティをレポート）］をクリックして報告を送信できます。アクティビティーがレビューされると、報告が確認され、完了されます。

ユーザーのIdPとアプリケーション セッションのタイムリーな取り消しは、セキュリティ関連のイベントに対応する上で重要な部分です。このテンプレートは、Okta、Google Workspace、Office 365、Zoom でユーザー セッションを取り消す方法の例を示しています。テンプレートは、ヘルパーフローとしてトリガーされる単一のフローを使用します。このヘルパーフローは、次のようなイベントで役立ちます。

• Oktaユーザーが停止された

• Oktaユーザーが疑わしいアクティビティを報告した

• Okta管理者がユーザーのパスワードのリセットを実行した

• Okta管理者が委任されたフローをトリガーした

多くのOrganizationでは、特定のユーザーが必要とするよりもずっと長い期間にわたってアクセスが付与されているままになっている傾向があります。1つのアプリにしかアクセスする必要がない契約社員がいる組織もあれば、退職した社員に対して十分な退職ポリシーが適用されていない組織もあります。たとえば、数か月にわたってログインしていないユーザーがいる場合、実際にアクセスする必要があることがわかるまでそのユーザーを停止したいことがあります。強力なセキュリティ体制を実現するためにこのようなポリシーを導入します。このフローは環境内のすべてのアクティブユーザーを参照、過去6か月 (180日) 以内にログインしていないユーザーがいればそのユーザーを停止します。

従業員が携帯電話を紛失して交換することは珍しくありません。セカンダリAuthenticator情報をリセットできるようユーザーに一時的なアクセスを許可するため、ユーザーが確実性の高いサインオンポリシーに準拠するデバイスを入手するまでの間、厳格性の低い認証ポリシーを適用できます。このテンプレートは、定義された時間だけ、Oktaユーザーに対してMFAポリシーを免除します。

詐欺の主な経路は、パスワードのリセットまたは特権アカウントへのアクセスレベルの変更によって行われるアカウントの乗っ取りです。自動化されたフローでこれら2つのベクトルを動的に監視して対応することで、これらのコストのかかる攻撃のリスクが大幅に軽減されます。このテンプレートは、Okta Workflowsが応答を自動化して、アカウントの乗っ取り（ATO）の試みに対抗し、セルフサービスとヘルプデスクベースのアカウント回復でリスクを軽減する方法を示しています。テンプレートは、ユーザーのパスワードとMFA要素のリセットおよびアクティブ化イベントを監視して、ユーザーのアカウントがATOの脅威にさらされているかどうかを判断します。

全MFA係数のリセットは、不正アクター、人的エラー、IT管理者による顧客の支援など、さまざまな要因によって引き起こされます。セキュリティ向上とリスク削減には、内部チームが次の手順を特定できるようなタイムリーな通知が重要です。このテンプレートは、ユーザーのすべてのMFA係数がリセットされた際に自動的に内部チームに通知する方法を示します。

samAccountNameなどユーザーの名前、またはメールアドレスを使用して、技術的なフィールドを生成する場合、データフィールドのデータに無効な文字が含まれていることがよくあります。たとえば、メールアドレス内のスペースなどです。このテンプレートは、最も一般的な特殊文字のいくつかを識別し、置き換えを行います。その後で、検証または修正後の名前をOktaのユーザープロファイル属性に配置します。これにより、元の名前は表示用に保持され、技術的な目的には更新された名前が使用されます。

ウェルカムメールは、Organizationが新しい顧客や従業員に送る最初のあいさつです。「ようこそ」メールには特別なプロモーションコードや、ユーザーエクスペリエンスを拡張する情報も記載できますが、単なる歓迎の言葉だけでもかまいせん。このテンプレートは、新規ユーザーにウェルカムメールを自動的に送信する方法を示したものです。

このテンプレートは、Gmailを使用して、Googleドライブからの添付ファイル付きメールを送信する方法を示したものです。

Googleドライブを使用している多くのOrganizationでは、元のユーザーが退社した時など、ユーザーのGoogleドライブにあるコンテンツを別のユーザーに転送するメカニズムを必要としています。このフローでは、ユーザーのGoogleドライブから上司にファイルを転送し、ユーザーを削除できます。

多くのOrganizationが特定のライフサイクルイベントに関するレポートについてOrganization固有の特別なニーズを抱えており、Organizationの他のユーザーとデータを共有しています。Okta System Logは強力ですが、Oktaの管理者しか使えず、レポートのスケジュール設定をすることもできません。このフローは、オンラインスプレッドシートにカスタムレポートを構築(\"user suspended\"イベントを使用)し、イベント発生時にそのレポートを関係者と共有するためのものです。

連携されていないユーザー層（契約社員や特定のオフィスなど）をOktaにインポートする必要がある場合、CSVかフラットファイルを使えば最も簡単にこれらのユーザーをOktaに作成できます。このフローは、Googleスプレッドシートからユーザーをインポートする方法、For Eachループの使い方に関するガイドとなるものです。このフローは、指定したGoogleスプレットシートからすべてのユーザーを読み取り、毎週月曜日の午前6時（米国西海岸標準時）にそれらのユーザーをOktaに作成します。

Organizationにユーザーを迎え入れるために、IT担当者はOffice 365やG Suiteなど、ダウンストリームアプリケーションでエンドユーザーに一意のメールアドレスを生成する必要があります。このフローでは、Oktaに登録されるすべてのユーザーに対して一意のメールアドレスが生成されます。

現行のGoogle Workspaceコネクターは、Google Workspace API内ですべてのエンドポイントへのアクセスを提供しません。カスタムAPIアクションカードも、Directory APIエンドポイントとLicensing APIエンドポイントに制限されています。このテンプレートを使用すると未加工のHTTPリクエストを作成し、必要なスコープを取得できます。

このテンプレートは、G Suiteのユーザーを無効化し、指定した期間が経過した後で、そのユーザーに割り当てられているG Suiteライセンスを削除するものです。このフローには、ユーザーを再アクティブ化し、以前に削除されたG Suiteライセンスを再割り当てする部分もあります。

Oktaでは、Okta WorkflowsとAzure Automationの組み合わせによりPowerShellオンプレミスを実行できます。Azure Automationはクラウドベースの自動化サービスで、Azure、オンプレミスのAzure以外、ハイブリッドの環境の全体にわたって自動化をサポートします。

このガイドでは、IT管理者向けに、Oktaからのユーザーのライフサイクル管理にPowerShellの実行を組み入れるため、何が必要かについて解説します。

Microsoftアラートサブスクリプションを使用することで、APIエンドポイント、メール、コラボレーションスペース、クラウドアプリ、ユーザーIDにわたるセキュリティサーフェスを管理できます。

このテンプレートは、Oktaユーザーのプロファイルに保存されている開始日/終了日に基づいてOkta WorkflowsがOktaユーザーアカウントを自動的にアクティブ化/非アクティブ化する方法を示します。その上でテンプレートはMicrosoft Teamsを使って通知を送信します。

複数のOffice 365テナントを使用する企業が増えてきています。M&A事業を行っている企業では特にこれが顕著です。このような場合、ユーザーは複数のテナントにアクセスする必要があります。多くの企業がMicrosoftのゲストアカウントを使うことでこの問題のライセンス面に対処しています。ただし、これらのユーザーの作成と管理を自動化するのは面倒な作業です。このフローを使えば、コードを使ったり、コードをホスティングする特別なインフラストラクチャを用意しなくても、ゲストアカウントを簡単に作成できます。

Organizationにユーザーを迎え入れるために、IT担当者はOffice 365やG Suiteなど、ダウンストリームアプリケーションでエンドユーザーに一意のメールアドレスを生成する必要があります。このフローでは、Oktaに登録されるすべてのユーザーに対して一意のメールアドレスが生成されます。

このフローでは、Office 365管理者のユーザーを無効化し、指定した期間が経過した後でそのユーザーに割り当てられているOffice 365ライセンスを削除できます。また、Office 365管理者のユーザーを再度有効にし、以前削除したOffice 365管理者ライセンスを再度割り当てることもできます。

このテンプレートは、カスタムプロファイル属性とOkta Workflowsを使ってOktaグループメンバーシップとOffice 365のUnifiedグループを同期します。Office 365のUnifiedグループがないときは、含まれているフローを使って新たに作成し、Oktaグループを使ってグループメンバーシップを管理できます。

多くのOrganizationでは、フルタイム従業員に加えて契約社員も雇用しています。契約社員には通常、現在の契約が期限切れになる日付があります。このテンプレートは、この日付までに組織内の人々にプロアクティブに通知する方法を示しています。たとえば、従業員の契約を更新する可能性のある契約社員のマネージャーなどです。

多くのOrganizationがユーザーの資格情報を管理するためにActive Directory（別名AActive Directory 委任認証）を使用しています。OktaとActive Directoryの統合はユーザープロビジョニングを可能にしていますが、Organizationはユーザーにアカウント資格情報を伝えるソリューションを必要としています。新入社員のオンボード時、企業では新入社員のアカウントをあらかじめ設定しておく必要がある場合があります。しかし、この新入社員は入社日までシステムやメールを利用ないかもしれません。このようなシナリオでは、企業が新入社員の上司にワンタイムパスワード付きのアカウント資格情報をメールで送信できます。このフローは、「アプリケーションへのユーザーの割り当て」イベントを使用してActive Directoryに追加されたユーザーを特定する方法を示しています。その後、それらのユーザーの上司のメールアドレスが取得され、通知が送信されます。

多くのOrganizationでは、Adobe Signを使用して、ユーザーがアクセスできるリソースを規定する契約を管理しています。たとえば、機密保持契約（NDA）、リース契約、利用規約（TOS）などが一般的なリソースタイプです。このテンプレートはAdobe SignのWebhookを活用し、ユーザーがドキュメントに署名するタイミングをキャプチャします。Oktaは、この情報を使用してユーザーがアクセスできるシステムとそのセキュリティレベルを判定できます。

このフローは、外部テーブルから取得された関連値を使ってユーザーのプロファイルを強化する方法を示します。このフローはシンプルなAmazon Web Service（AWS）DynamoDBテーブルを使用し、データの取得はAWS Lambda関数によって処理されます。このフローは、AWS Lambdaコネクターを使用して該当するLambda関数を呼び出します。このユースケースは、ユーザーが入力した郵便番号に基づいており、郵便番号を利用して市、州、タイムゾーンなどの関連値を取得します。

AWS SSOコネクターでは、OktaおよびAmazon Web Service （AWS）のユーザーとグループのエンタイトルメント（アカウントと権限のセット）を追加したり削除したりできます。このコネクターは、OINカタログで利用可能なAWS SSO SCIMプロビジョニングアプリと連携して動作します。OktaユーザーがOktaグループに追加、または削除されると、このテンプレートのフローがトリガーされます。Oktaグループがエンタイトルメントを保持し、それと連動する形でユーザーがAWSで更新されます。ヘルパーフローとテーブルを使ってエンタイトルメントの追加と削除を行う方法について、2つの例を示します。

このテンプレートは、ユーザー用のBoxアカウントを作成し、フォルダを作成して、ユーザーのマネージャーにメールで通知を送信します。また、このフローはユーザーが特定のOktaグループから削除されると、ユーザーのBoxファイルとフォルダをマネージャーに転送します。

多くのOrganizationでは、DocuSignを使用して、ユーザーがアクセスできるリソースを規定する契約を管理しています。たとえば、機密保持契約（NDA）、リース契約、利用規約（TOS）などが一般的なリソースタイプです。このテンプレートは、DocuSign Webhookを使用して、ユーザーがドキュメントに署名するタイミングをキャプチャします。Oktaはこの情報を取得して、グループおよびアプリケーション アクセスの管理に使用される属性を入力します。

このテンプレートを利用することで、フローの作成者はフローをオンデマンドで、または自動ベースでGitHubやGoogle Driveなどの外部システムにバックアップできます。これを実現するために、フローまたはフォルダをエクスポートする機能を新たに開発し、GitHubコネクターを強化することで作成者がプルリクエストをコミットまたはオープンできるようにしました。環境に簡単にインポートでき、フローとフォルダの両方のバージョン管理を丁寧に案内するテンプレートセットも用意されています。

ユーザーのAppleデバイスコンプライアンスに基づいて、Oktaユーザーに完全にカスタマイズ可能な条件付きアクセスフローをセットアップします。

リモートワーカーを管理するIT管理者は、リモートユーザーが非アクティブ化されると、実際の課題に直面する可能性があります。IT部門は、会社に関連するすべてのデバイスが使用できないようにする必要があります。このフローは、Jamf Proで特定のユーザーに割り当てられたすべてのAppleデバイスを、そのユーザーがOktaで非アクティブ化された時点でリモートにロックする自動的な方法を提供します。

Appleモバイルデバイスは、会議室のコントロールパネル、顧客向けのデモユニット、自動キャッシュマシンなど、いくつかのシナリオで共有デバイスとして使用できます。これらのデバイスは、保留中のアップデートをインストールするために時々再起動する必要がありますが、Jamf Proではそのようなアクションを長期的にスケジュールする組み込みメソッドが提供されていません。

新規従業員のオンボーディングは、複数の内部チームからの情報や、異なる承認ツールやアカウント作成ツールの統合を必要とする複雑なプロセスです。さらに、ユーザーアカウントのアクティブ化前に、オリエンテーションの完了や認定の獲得を新規従業員に求める企業もあります。この複雑さは、承認を追跡し、特定の日に各ユーザーアカウントをアクティブ化するIT管理者の負担を増します。このプロセスを自動化することで、人的エラーを軽減し、セキュリティ体制を強化できます。このテンプレートは、承認済みのJiraサービスリクエストによってトリガーされる、Oktaの自動化されたアカウント作成とアクティブ化の例を提供します。

IT管理者は、従業員が離職したときに会社に関連するすべてのデバイスにアクセスできないようにしたいと考えています。このテンプレートは、ユーザーがアカウントで停止、非アクティブ化、または疑わしいアクティビティを報告した場合に、Kandjiで特定のユーザーに割り当てられたすべてのKandjiデバイスをリモートでロックするための自動化された方法を提供します。

このテンプレートは、Okta WorkflowsとMarketoを組み合わせて使用して顧客の再エンゲージメントを促し、Webサイトへの訪問数を増やす方法を示しています。このテンプレートは、Marketoに最近サインインしていない顧客のリストを自動的に保持します。その後、Marketoを使用してこれらの顧客のエンゲージメントを促すキャンペーンをセットアップできます。

このテンプレートは、B2C企業がOkta Workflowsを使用してMarketoと顧客を同期する方法を示しています。このテンプレートを使用すると、自社のWebサイトにサインインした新規ユーザー全員がMarketoにプロファイルを持つようになります。これにより、エラーが発生しやすい手動のインポートプロセス回避するとともに、マーケティングキャンペーンを通じて即座に新規ユーザーに働きかけることで、エンゲージメントと顧客維持率を向上させることができます。

本人検証の場合、このフローはOktaコネクター用のユーザー作成イベントカードを使用してOnfido申請者を作成し、申請者IDをユーザーのOktaプロファイルに保存します。

このテンプレートは、オンコールローテーションとスケジューリングに関連して、Opsgenieで頻繁に使用されるさまざまなタスクを自動化するのに役立ちます。

Oktaでは、ユーザーが認識していないアクティビティを組織管理者に報告できます。そのような疑わしいアクティビティの報告をただちに調査することは、不正行為の予防と阻止に不可欠です。疑わしいアクティビティが報告されたとき、PagerDutyにインシデントを自動的に作成して、社内チームがさらに調査できるようにするには、どのようにすればいいでしょうか。このテンプレートは、疑わしいアクティビティが報告されたとき、PagerDutyにインシデントを自動的に作成する例を示したものです。

このフローは、ユーザーのプロファイルデータをOktaからPendo Adoptにプッシュします。Oktaで情報が変更された場合にOkta WorkflowsはPendo内のユーザーデータを自動的に更新できるため、PendoはOktaのお客様にこのアプローチを推奨しています。「Okta Workflowsを使ったPendoメタデータの同期」を参照してください。

このテンプレートでは、XaaSモデルを実装してPersonioからレコードをインポートする方法を示します。このフローでは、Personioにレコードをリクエストし、取得したレコードリストを一時Workflowsテーブルに保存してから、インポートセッションを作成して一括インポートリクエストを処理します。

このテンプレートは、B2C企業がOkta Workflowsを使用して顧客をCRMソリューションに自動的に同期する方法を示しています。このテンプレートを使用すると、自社のWebサイトにサインインした新規ユーザー全員がSalesforceアカウント内の連絡先になります。

ユーザープロビジョニングやサードパーティシステムでのユーザー作成は、Oktaのライフサイクル管理プロダクトにとって最も基本的なユースケースの1つです。Salesforceなどのシステムへのアクセスを提供するには、適切なプロフィール属性と権限を持ったアカウントをそのシステムで新規作成ユーザーのために用意する必要があります。このフローは、Salesforceでユーザーを作成し、部署に応じてユーザーにプロフィールを割り当てるのに役立ちます。

このフローは、ユーザーが必須のSecure Code Warrior評価に合格している場合に、GitHubレポジトリへのアクセスを付与します。このフローは、ユーザーがGitHubアプリケーションにアサインされたときにトリガーされます。

エンドユーザーのセキュリティは、すべてCIAM顧客にとって大きな懸念です。エンドユーザーに対し、パスワードが変更されたときに通知し、それによって知らないうちにパスワードが変更された場合に警告することができれば、アカウント乗っ取りの危険を軽減できます。この通知は、複数のアプリケーションブランドにわたってブランディングすることが重要です。Workflowsはパスワード変更イベントに対応し、エンドユーザーにカスタマイズされた通知を送信します。フローを開始するトリガーイベントは、OktaでのUser Password Changedイベントです。これは、ユーザーがセルフサービスのパスワード変更を開始した、またはパスワードが管理アクションによって設定された場合に発生します。カスタマイズされたHTMLメールテンプレートがユーザーとイベントのコンテキストを動的に代替します。

このテンプレートは、Okta Workflowsを使用して高リスクの顧客サインインから保護する方法を示しています。高リスクサインインが発生すると、テンプレートは関連情報を含むServiceNowインシデントを自動的に作成します。これにより、セキュリティチームは迅速に対処し、サイトへのリスクを軽減することが可能になります。

ServiceNowを使用している多くのOrganizationでは、元々持っているアクセス権より下位のアクセス権を取得するのに承認が必要です。作成時にデフォルトのアクセスが付いた状態でプロビジョニングされたユーザーがいるものの、プロビジョニング前に承認が必要な特定のグループアクセスがある場合があります。このフローは、ServiceNowを使ってこのようなユースケースで承認を得るのに役立ちます。

このフローは、セッションのハイジャックに関連する異常をSlackが検出した場合にセキュリティオペレーションチームがSlackセッションを無効化し、管理者に連絡するように設計されています。

このフローは、異常なイベントについてSlack Risk Audit APIを定期的にチェックし、セキュリティ関連の特定の関心イベントについて結果をフィルタリングします。このフローは、異常なイベントに関連する任意のSlackセッションを無効化します。

また、これらのイベントについて組織のセキュリティオペレーションチームまたはSlack管理者に通知するようにも構成されています。通知を受けた管理側は、ユーザーがアカウント乗っ取りの被害を受けているかどうかを調査できます。

このテンプレートでは、XaaSモデルを実装してSmartHRからレコードをインポートする方法を示します。このフローでは、SmartHRにレコードをリクエストし、取得したレコードリストを一時Workflowsテーブルに保存してから、インポートセッションを作成して一括インポートリクエストを処理します。

ダウンストリームアプリケーション間でユーザーIDを一貫した形で維持することは、優れたユーザーエクスペリエンス、コンプライアンス、ガバナンスに不可欠です。グループメンバーシップに基づいてダウンストリームアプリケーションを自動的にプロビジョニングすると、単純で効果的なソリューションを実現できます。このテンプレートは、Okta内のグループメンバーシップに基づいてShopify顧客を作成・更新・削除するブループリントになります。

このフローは、TwilioからSMSメッセージを送信する方法を示しています。