Oktaコネクターに関するガイダンス
フローでOktaコネクターを使用する際のガイダンスとベストプラクティスについては、次の情報をお読みください。
認証
-
スーパー管理者資格情報を持っている必要があります。
コネクターの初期認可に加え、この接続の再承認にはスーパー管理者権限を持つアカウントが必要です。
-
Okta Workflows OAuthアプリに割り当てられている必要があります。
-
Okta Workflows OAuthアプリで必要なスコープが付与されている必要があります。「スコープの付与または取り消し」を参照してください。
-
Oktaアカウントの認可には次の情報も必要です。
-
[Domain(ドメイン)]:Okta orgのドメイン。URLからhttps://プレフィックスまたは-admin部分を除いたもの。たとえば、Okta Admin ConsoleのURLがhttps://yourcompany.okta.comである場合、ドメインはyourcompany.okta.comです。
-
[Client ID(クライアントID)]と[Client Secret(クライアントシークレット)]:Okta Workflows OAuthアプリのクライアントIDとクライアントシークレット。
これらの値は、Okta Workflows OAuthアプリケーションを通じて取得できます。
-
Admin Consoleで、 に移動します。
-
Okta Workflows OAuthアプリケーションを開きます。
-
[サインオン]タブをクリックし、[Client ID(クライアントID)]と[Client secret(クライアントシークレット)]の値をOktaの接続詳細にコピーします。
-
-
アカウントのタイプ
接続の作成に使用されるアカウントには、スーパー管理者の資格情報が含まれている必要があります。
多くの場合は、Okta Workflowsのスーパー管理者資格情報を使って特定のサービスアカウントを作成し、そのアカウントを使って接続を承認することをお勧めします。それ以外の場合、接続のセットアップに使われるOktaユーザーアカウントは、Okta Workflowsによって実行されるすべてのアクションと関連付けられます。
スコープの付与または取り消し
Okta Workflows OAuthアプリでスコープを変更するには、Workflowsコンソールで次の手順を実行します。
-
に移動します。利用できるスコープのリストが表示されます。
-
「Oktaコネクターコードに関するスコープ」を確認し、イベントに必要なスコープとこの接続に使用するアクションカードを検索します。
-
付与するスコープごとに[Grant(付与)]をクリックします。付与するスコープごとに[Revoke(取り消し)]をクリックします。
-
スコープがOkta Workflows OAuthアプリのリストにない場合は、Okta APIを使用してこれに対処できます。
-
まだスコープがない場合は、APIトークンを作成します。
-
「スコープに同意を付与」APIエンドポイントを使用してスコープを手動で付与します。または、「アプリの付与を取り消し」APIエンドポイントを呼び出してスコープを取り消します。
使用可能なすべてのスコープのリストについては、「OAuth 2.0スコープ]を参照してください。
-
既存のOkta接続にスコープの変更を反映させるには、接続を再承認する必要があります。
新しい機能とスコープ
Okta Workflowsのリリースによって機能が追加される、またはorgで機能が有効化されると、これらの更新によってOkta Workflows OAuthアプリで利用できるスコープにスコープが追加される場合があります。
新しいスコープを既存の接続に追加するには、「スコープの付与または取り消し」セクションの手順に従います。
ベストプラクティス
次に、Oktaカードの追加の構成情報を示します。
[システムログを検索]のオプション
-
[Keyword(キーワード)]フィールドで、クエリパラメーターqは、ログイベントオブジェクトの属性値に対してキーワードマッチングを実行するために使用されます。すべての入力キーワードは正確に一致する必要があります(キーワードマッチングでは大文字と小文字が区別されます)。「システムログ」を参照してください。
-
null値が含まれる属性に対してキーワードマッチングを使用した場合、値は返されません。
-
eq演算子を使用してキーと値の各ペアを連結してから、and演算子を使用して各種のキーを結合します。その他の演算子を使用するには、[Custom Filter(カスタムフィルター)]フィールドを使用して独自の式を構築します。それらの事前定義されたフィールドと[Custom Filter(カスタムフィルター)]フィールドは、and演算子で連結します。「システムログ」を参照してください。
ユーザーまたはグループの取得
次の例は、最初の200グループとストリーミングレコードの両方を取得するための構成を示しています。
最初の200レコード
このフローは、ユーザーが参加した、月次ベースで最初の200グループを取得します。
ストリーミングレコード
このフローは、特定のユーザーが参加したすべてのグループの1つの[カスタムフィールド]値を更新します。