承認
Oktaアカウントへの接続を作成し、このコネクターを承認します。この接続は、このコネクターで次にフローを構築するときに再利用できます。
-
現在のOkta orgの接続を作成するときは、「現在のOkta orgから接続を作成する」を参照してください。
-
別のOkta orgへの接続を作成するときは、「別のOkta orgのアカウントの承認」を参照してください。
その他の情報については、「Oktaコネクターに関するガイダンス」を参照してください。
現在のOkta orgから接続を作成する
開始する前に
-
Okta Workflows OAuthアプリに割り当てられている必要があります。
-
Okta Workflows OAuthアプリで必要なスコープが付与されていなければなりません。「スコープの付与または取り消し」と「Oktaコネクターカードのスコープ」を参照してください。
-
スーパー管理者資格情報を持っている必要があります。
コネクターの初期承認に加え、この接続の再承認にはスーパー管理者権限を持つアカウントが必要です。
-
Oktaアカウントの承認には次の情報も必要です。
-
[Domain(ドメイン)]:Okta orgのドメイン。URLからhttps://プレフィックスまたは-admin部分を除いたもの。たとえば、Okta Admin ConsoleのURLがhttps://yourcompany.okta.comである場合、ドメインはyourcompany.okta.comです。
-
[Client ID(クライアントID)]と[Client Secret(クライアントシークレット)]:Okta Workflows OAuthアプリのクライアントIDとクライアントシークレット。
これらの値は、Okta Workflows OAuthアプリケーションを通じて取得できます。
-
Admin Consoleで、 に移動します。
-
Okta Workflows OAuthアプリケーションを開きます。
-
[サインオン]タブをクリックし、[Client ID(クライアントID)]と[Client secret(クライアントシークレット)]の値をOktaの接続詳細にコピーします。
-
-
接続の承認
-
Okta Workflowsコンソールで[Connections(接続)]に移動します。
-
[New Connection(新規接続)]をクリックすると、利用できるすべてのコネクターがリスト表示されます。
-
Oktaコネクターを選択します。
-
[New Connection(新規接続)]ウィンドウで[Connection Nickname(接続ニックネーム)]を入力します。これは、接続リストに表示される表示名です。
-
[Domain(ドメイン)]、[Client ID(クライアントID)]、[Client Secret(クライアントシークレット)]の値を入力します。
-
[Permissions(権限)]タブをクリックし、[Use default scopes(デフォルトスコープを使用)]または[Customize scopes (advanced)(スコープをカスタマイズ(高度))]を選択します。
-
[Use default scopes(デフォルトスコープを使用)]:このオプションには、任意のOktaコネクターカードの実行に必要なスコープが含まれます。
-
[Customize scopes (advanced)(スコープをカスタマイズ(高度))]:この接続のスコープをカスタマイズする場合は、このオプションを選択します。デフォルトのスコープリストにない[Manually add scopes(スコープを手動で追加)]することもできます。存在しないスコープなどの無効なスコープの追加を試みると、接続の作成は失敗します。
スコープを付与するには:接続を作成する前に、Okta Workflows OAuthアプリでそれらのスコープを付与し、この[権限]タブでスコープを選択します。
スコープを取り消すには:接続を作成する前に、OAuthアプリからそれらのスコープを取り消すか、付与し、[権限]タブで選択したスコープを消去します。
OAuthアプリでスコープを付与しない場合でも接続を作成または再承認できますが、その接続にはそれらの付与されていないスコープは含まれません。
必要なスコープなしでカードを実行しようとすると、不十分なスコープエラーが発生します。
-
-
[Create(作成)]をクリックします。
[Connections(接続)]リストに新しい接続が表示されます。
接続の再承認
既存の接続にスコープの変更を反映させるには、接続を再承認する必要があります。
スコープを変更せずに既存の接続を再承認すると、単に前回の承認のスコープが継承されます。
別のOkta orgのアカウントの承認
現在のorgとは異なるOkta orgの接続を作成するには、次の手順を実行します。
-
対象のOkta org内にOpenID Connect Webアプリを作成します。
-
OpenID Connect Webアプリを構成します。
-
対象のOkta orgのアカウントを承認します。
現在のOkta orgの接続を作成するときは、「現在のOkta orgから接続を作成する」を参照してください。
対象のOkta orgでのOIDC Webアプリの作成
-
Admin Consoleで に移動します。
-
[Create App Integration(アプリ統合を作成)] をクリックします。
-
[Create a new app integration(新しいアプリ統合の作成)]ウィンドウで、[Sign-on Method(サインオン方式)]に[OIDC - OpenID Connect]を選択し、[Application type(アプリケーションタイプ)]を[Web application(Webアプリケーション)]に設定します。
-
[Next(次へ)]をクリックします。
-
[New Web App Integration(新規Webアプリ統合)]ページで[Application name(アプリケーション名)]を入力します。これは、アプリに表示される表示名です。
-
アプリの[Sign-in redirect URIs(サインインリダイレクトURI)]を入力します。対象のorgではなく、アプリがある場所のURIを入力します。たとえば、本番orgからOktaプレビューorgに接続するときは、https://oauth.workflows.okta.com/oauth/okta/cbを使用します。
-
[Save(保存)]をクリックします。
アプリが作成され、[Applications(アプリケーション)]ページに表示されます。
OIDC Webアプリの構成
-
Admin Consoleで に移動します。
-
新たに作成されたアプリケーションを選択します。
-
[General(一般)]タブで、[Edit(編集)]をクリックします。
-
[Allowed Grant Types(許可される付与タイプ)]リストで、[Refresh Token(リフレッシュトークン)]を選択します。
-
[Save(保存)]をクリックします。
-
[Assignments(割り当て)]タブを選択し、[Edit(編集)]をクリックします
-
アプリを適切なユーザーに割り当てます。個別の人またはグループに割り当てることができます。
ユーザーには継続的なスーパー管理者権限が必要です。
-
割り当てを保存します。
-
[Okta APIのスコープ]タブで、ユースケースに必要なスコープの同意を付与します。「Oktaコネクターに関するガイダンス」を参照してください。
-
[Save(保存)]をクリックします。
アプリは設定され、割り当てられたユーザーはこのorgの接続を作成できます。
対象のOkta orgのアカウントの承認
開始する前に
-
以前の手順で作成したOpenID Connect Webアプリに割り当てられている必要があります。
-
Okta Workflows OAuthアプリで必要なスコープが付与されている必要があります。「スコープの付与または取り消し]を参照してください。
-
スーパー管理者資格情報を持っている必要があります。
コネクターの初期承認に加え、この接続の再承認にはスーパー管理者権限を持つアカウントが必要です。
-
Oktaアカウントの承認には次の情報も必要です。
-
[Domain(ドメイン)]:Okta orgのドメイン。URLからhttps://プレフィックスまたは-admin部分を除いたもの。たとえば、Okta Admin ConsoleのURLがhttps://yourcompany.okta.comである場合、ドメインはyourcompany.okta.comです。
-
[Client ID(クライアントID)]と[Client Secret(クライアントシークレット)]:これは、OpenID Connectアプリで確認できるクライアントIDとクライアントシークレットの値です。これらの値を確認する方法は次のとおりです。
-
Admin Consoleで に移動します。
-
自分のOpenID Connect Webアプリを開きます。
-
[サインオン]タブをクリックし、[Client ID(クライアントID)]と[Client secret(クライアントシークレット)]の値を接続詳細にコピーします。
-
-
手順
-
Okta Workflowsコンソールで[Connections(接続)]に移動します。
-
[New Connection(新規接続)]をクリックすると、利用できるすべてのコネクターがリスト表示されます。
-
Oktaコネクターを選択します。
-
[New Connection(新規接続)]ウィンドウで、[Connection Nickname(接続ニックネーム)]を入力します。これは、接続リストに表示される表示名です。
-
[Domain(ドメイン)]、[Client ID(クライアントID)]、[Client Secret(クライアントシークレット)]の値を入力します。
-
[Permissions(権限)]タブをクリックし、[Use default scopes(デフォルトスコープを使用)]または[Customize scopes (advanced)(スコープをカスタマイズ(高度))]を選択します。
-
[Use default scopes(デフォルトスコープを使用)]:このオプションには、任意のOktaコネクターカードの実行に必要なスコープが含まれます。
-
[Customize scopes (advanced)(スコープをカスタマイズ(高度))]:この接続のスコープをカスタマイズする場合は、このオプションを選択します。デフォルトのスコープリストにない[Manually add scopes(スコープを手動で追加)]することもできます。存在しないスコープなどの無効なスコープの追加を試みると、接続の作成は失敗します。
スコープを付与するには:接続を作成する前に、Okta Workflows OAuthアプリでそれらのスコープを付与し、この[権限]タブでスコープを選択します。
スコープを取り消すには:接続を作成する前に、OAuthアプリからそれらのスコープを取り消すか、付与し、[権限]タブで選択したスコープを消去します。
OAuthアプリでスコープを付与しない場合でも接続を作成または再承認できますが、その接続にはそれらの付与されていないスコープは含まれません。
必要なスコープなしでカードを実行しようとすると、不十分なスコープエラーが発生します。
-
-
[Create(作成)]をクリックします。
[Connections(接続)]リストに新しい接続が表示されます。
接続の再承認
既存の接続にスコープの変更を反映させるには、接続を再承認する必要があります。
スコープを変更せずに既存の接続を再承認すると、単に前回の承認のスコープが継承されます。