Workflowsのシステム制限

Workflowsにはベストプラクティスとシステム制限があり、フローの設計と成功に影響する可能性があります。

Workflowsのスケールとパフォーマンスについてのガイド

Okta Workflowsは、ID認証プロセスを自動化するための強力で柔軟なプラットフォームです。増加するライフサイクル管理、データ同期、タスク自動化のユースケースのセットに合わせて設計、テスト、最適化されており、対応範囲はさらに増え続けており、拡張によってさらに多くの用途に適合できます。

このセクションでは、一般的なユースケース、フローを構築するときに留意すべき重要な原則と制限、および正しいデプロイを保証する方法について解説します。

Workflowsを最適に使用するには、次のタスクを行ってください。

サポートされるユースケース

Workflowsは多くの作業を行えますが、IDに関連する特定のタスクセットを行うために最適化されています。これらは、当社のヘルプセンターと、Workflows内の両方に、各種のリソースを使用してドキュメント化されています。

ユースケース

テンプレート

コネクタ

Workflowsは、中核となる従業員のIDと顧客のIDに関するユースケースのセットに最適化され、テストが行われています。

Okta Workflowsのユースケースのユースケースを参照してください。

Oktaはインポート可能なテンプレートのライブラリーを開発し、精選しており、このライブラリーは拡大が続けられています。これらはリリースの前にOktaによるレビューを受けます。

利用可能なWorkflows Templatesを参照してください。

Oktaは多数のネイティブSaaSコネクターのセットを保守しており、これには簡単なAPI接続、使い勝手とドキュメンテーションの改善、およびバックオフと再試行機能の内蔵などの最適化が含まれています。

コネクタを参照してください。

ユースケースは大まかにゾーンに分類できます。

グリーンゾーンイエローゾーンレッドゾーン

これらのユースケースは入念にテストされており、充実したサポートが提供されています。

  • 従業員と顧客のIDに関するOktaの中核となるユースケースがドキュメント化されています。Okta Workflowsのユースケースのユースケースを参照してください。

  • 特定のレイテンシ要件がない、スケジュール済みのフローと非同期ユースケース。

  • イベント主導のプロビジョニングや、Oktaとサードパーティ製SaaSシステムとの、イベントフックなど他のインターフェイス。

  • Oktaやサードパーティ製システムからのデータストリーミングを使用し、Oktaのsearch、get、listカードでインバウンドデータを読み取る。ヘルパーフローでのストリーム一致オプションの設定を参照してください。

これらのユースケースでは、アーキテクチャとベストプラクティスに十分な注意を払う必要があり、システムの制限や他の警告に陥るリスクが高くなります。サポートはベストエフォートであり、確実な成功のためには専門的なサービスとの連携をお勧めします。

  • Oktaイベントフックフローは1日ごとに100,000イベントを超えます。

  • Oktaやサードパーティ製システムからの中規模の一括データ検索やリストで、データストリーミングを使用しないもの(アクションカードによるデータのストリーミングについて)。

  • 3秒から60秒くらいの中程度のレイテンシ要件があり、実行に60秒より長く要することもあると理解されているフロー。

  • 1回限りの大きなディレクトリのインポート、移行、または一括読み込み。

  • 未加工HTTPリクエストにより、サードパーティ製システムとのカスタム統合。

  • 単一実行における大量のデータの処理。

  • API Endpointカードで開始されるフロー。

この分野での一般的な課題には次のものがあります。

  • システム負荷によりレイテンシが平均パフォーマンスの10倍、またはそれ以上変化することがあります。

  • サードパーティ製システムでレート制限やタイムアウトが発生することがあります。

  • 大きなフローは過剰なメモリの使用により停止されることがあります。

  • システムは、過剰なリソースの使用を理由にフローの実行を調整することがあります。

次のようなユースケースは現在サポートされていません。

  • 認証の決定のカスタマイズや、ユーザーとの対話の調整などの同期フロー。

  • 特定の低レイテンシ要件を持つフロー。インラインフックも含みます。レイテンシを参照してください。

  • 継続的なディレクトリの同期、たとえばWorkflowsと未加工のユーザーAPIを使用してHRaaSアーキテクチャを実装するなど。

Workflowsプラットフォームの制限

カテゴリ制限のタイトル制限説明
フロー

組織あたりのアクティブフロー数プランによって異なります

管理者は、これらのティアーに従って最大数のアクティブフローを実行できます。

  • Workflows Starter:5のアクティブフロー

  • Light Workflows:50のアクティブフロー

  • Medium Workflows:150のアクティブフロー

  • Unlimited Workflows:無制限のアクティブフロー

無効になっているフローは制限にカウントされません。この制限は組織単位で構成できます。フロー制限を参照してください。

従来のWorkflowsエンタイトルメント(たとえば、高度なライフサイクル管理のもの)を保有している場合、アクティブな親フローが100までに制限されます。

エクスポート先フォルダーのフロー数

400

フォルダーに配置できるフロー数に制限はありません。ただし、フォルダーのエクスポートを成功させるには、フロー数をこの制限未満にする必要があります。

フローの実行

Workflowsインスタンスのメモリ制限

100MB

実行の一環としてフローに保存されるインスタンス変数の制限。

最大一時停止期間

30日

終了前に人間またはシステムの応答を待機する間、フローを一時停止できる期間。

フローあたりの最大ステップ数

200万

1つのフロー内で実行できる最大ステップ数。

フロー実行のレート制限

フローあたり1秒間に10回の呼び出し

イベントとインラインフックの配信で制限が異なります(以下を参照)。ただし、APIから直接フローを呼び出す場合、1フローあたり1秒間に10回の呼び出し制限が適用されます。この制限を超えると、429応答コードが発生します。

ペイロード制限1MB

フロー履歴でサイズが1MBを超えたメッセージは保存されません。出力フィールドのエントリーは次のメッセージに置換されます。

データは正常に返されましたが、サイズが大きすぎて表示できません。

注

メッセージのサイズが制限を超えてもエラーは発生しません。フローの成功には影響がなく、データは引き続き想定どおりに処理されます。

フローファイル

添付ファイル

10MB

Gmailコネクタ用の「添付ファイル付きメールの送信」などのアクションカードで使用される添付ファイルに関する、フロー内のファイルのサイズ制限。

ダウンロードとアップロード

2GB

ダウンロードまたはアップロードのアクションカードからの、フロー内でのファイルのサイズ制限、たとえば次のようなもの。

  • Salesforceコネクタ用の「添付ファイルのアップロード」アクションカード

  • Googleドライブコネクタ用の「ファイルのアップロード」アクションカード

  • Docusignコネクタ用の「エンベロープ内のドキュメントのダウンロード」アクションカード。

保持期間

30日

Workflowsファイルシステム内にファイルを保存できる最長期間。

フロー履歴データのTime to Live30日Workflows Designerコンソールに表示されるフロー実行履歴の有効期限。

フローテーブル

テーブル数

100

1つの組織で利用できるテーブル数。

この制限は組織単位で構成できます。

行制限

100,000

1つのテーブル内での最大行数。

制限に達するとテーブルに行を追加できなくなります。

列制限

256

1つのテーブル内での最大列数。

制限に達するとテーブルに列を追加できなくなります。

セル制限

16KB

単一のWorkflowsテーブルセルのサイズ制限。

テーブルセルを更新し、入力がこの制限より大きい場合、エラーが返されます。

API

タイムアウト

60秒

APIエンドポイントへの受信HTTP接続が同期フローを呼び出す場合、この時間内に応答がないと接続を終了します。ただし、フロー自体は終了しません。

APIエンドポイント

ファイルペイロードのサイズ

合計100MB、パート1つあたり25MB

HTTPマルチパートリクエストの場合、最大ペイロードサイズは100MBです。各パート(ファイル、テキスト、パスワード、メディアなど)の制限は25MBです。

レイテンシ

Workflowsでは実行レイテンシが保証されません。大半のケースで、フローは非常に高速で実行されます。ただし、Workflowsはマルチテナントシステムであるため、レイテンシのSLAがありません。

フローの実行時間はさまざまな理由により変動します。

  • フローの複雑さ(組み込みの待機を含む)

  • システムリソースの需要が増加してから、Oktaが容量を増やすまでの遅延

  • サードパーティAPIによるレイテンシまたはレートの制限

特定のレイテンシは保証できないため、トークンへの情報付加や承認決定のカスタマイズなど、実行時間がシナリオにとって非常に重要なフローではWorkflowsを使用しないでください。

フック

フローのトリガーに使用されるOktaのイベントには制限があります。

イベントフックの配信とフロー実行順序は、いずれも保証されません。完全に非同期的な環境です。単一のユーザーに対して複数のイベントが同時に実行され、イベントが実行されたあとでユーザーの状態が変わっている可能性がある点について考慮することが重要です。たとえば、ユーザーが誤って非アクティブ化された直後に再アクティブ化される場合があります。非アクティブ化イベントに応答するフローは、再アクティブ化イベントの前と後のどちらにも実行される可能性があります。同様に、非アクティブ化フローが実行される時点で、ユーザーが非アクティブでない場合もあります。

より複雑な考慮事項がいくつかあります。インフラストラクチャのフェールオーバーなどの例外的なケースでは、フェールオーバーが完了するまで読み取り専用モードでOktaが一部のリクエストを処理する場合があります。つまり、完了できないプロセスに対してイベントが実行される場合があるということです。ワークフロー製品で現在サポートされていないパスワードインポートインラインフックもこの好例の1つです。このフックを実行することはできますが、読み取り専用モードであるためパスワードはインポートされません。リスナーは、user.import.passwordイベントの成功が確認できるまでレガシーシステムからユーザーパスワードを削除せず、フックの実行が十分であるとみなさないようにする必要があります。

機能制限の種類制限説明

イベントフック

タイムアウト

3秒

Oktaのイベントフックでは、1回の再試行における完了タイムアウトが3秒になっています。

エンドポイントが4xx HTTPエラーコードを返した場合、リクエストは再試行されません。

2xxコードはすべて成功とみなされるため、リクエストは再試行されません。外部サービスエンドポイントがリダイレクトで応答した場合、リダイレクトされません。

1日あたりのイベントフック数200,000

1つの組織につき、1日に最大20万のイベントフックを起動できます。制限を超えたイベントフックは記録されず、再実行されることもありません。1日あたりの制限を超えると、特定の回数制限までWorkflowsのイベントフックが再試行されます。

1組織あたりの最大イベントフック数

10

1つの組織につき、最大10個のアクティブなイベントフックを構成できます。複数のイベントタイプを配信するよう各イベントフックを構成できます。

ペイロードあたりの最大イベントフック数

100イベント

各イベントフックのペイロードで、最大100のイベントをグループ化できます。複数のイベントタイプを配信するよう各イベントフックを構成できます。

その他のガイドラインについては、イベントフックを参照してください。

自動化

Oktaに自動化では、Oktaグループに割り当てられているエンドユーザーのライフサイクル中に発生する状況に備えて対処することができます。

カテゴリ制限のタイトル制限説明
自動化

1組織あたりの最大自動化数50

組織のアクティブおよび非アクティブな自動化を合計した場合の最大数は50です。

自動化1つあたりの最大グループ数

10

自動化1つあたりの最大グループ数は10です。

自動化1つあたりの最大ユーザー数

100万

単一の自動化に適用される、グループメンバーシップの最大合計ユーザー数は、100万を超えることはできません。

複数のグループで自動化を設定すると、グループにユーザーが追加されるたびにユーザー数が増加します。

合計ユーザー数が100万人を超えると、自動化は実行されず、イベントがシステムログに記録されます。

その他のガイドラインについては自動化を参照してください。

Okta API

Okta APIには、Workflowsが実行するすべてのアクションに適用される、特定の組織単位のレート制限があります。これらのレート制限はエンドポイントと価格プランによって異なりますが、Workflowsアクションと外部アプリのアクション両方に適用されます。詳細については、「レート制限」を参照してください。

Okta APIを使ったカスタム統合があり、新しいWorkflowsデプロイメントでテストも行っている場合、Oktaのレート制限を超過し、両方のアクティビティが停止することがあります。このような問題を避けるため、プレビュー環境で新しいフローを開発することをおすすめします。停止が発生した場合は、次の 1 分間がレート制限に引っかからなくなるまで、新しいフローをすべて一時停止します。

セルのサポート

Workflowsは北米、EU、アジア太平洋/日本(APJ)の本番セルとプレビューセルで利用できます。

Okta WorkflowsはOkta事業提携契約(BAA)(該当する場合)の対象外で、サービスサポートの場所の要件、データのローカリゼーション、適用される他のすべてのHIPAA標準のいずれも満たしていません。また、Okta WorkflowsはOktaのFedRamp承認パッケージでも対象外となります。