Oktaコネクターに関するガイダンス

フローでOktaコネクターを使用する際のガイダンスとベストプラクティスについては、次の情報をお読みください。

認証

Okta Workflows OAuthアプリに割り当てられている必要があります。
Okta Workflows OAuthアプリで必要なスコープが付与されている必要があります。「スコープの付与または取り消し］を参照してください。
スーパー管理者資格情報を持っている必要があります。

コネクターの初期承認に加え、この接続の再承認にはスーパー管理者権限を持つアカウントが必要です。
Oktaアカウントの承認には次の情報も必要です。
- ［Domain（ドメイン）］：Okta orgのドメイン。URLからhttps://プレフィックスまたは-admin部分を除いたもの。たとえば、Okta Admin ConsoleのURLがhttps://yourcompany.okta.comである場合、ドメインはyourcompany.okta.comです。
- ［Client ID（クライアントID）］と［Client Secret（クライアントシークレット）］：Okta Workflows OAuthアプリのクライアントIDとクライアントシークレット。
  
  これらの値は、Okta Workflows OAuthアプリケーションを通じて取得できます。
  1. Admin Consoleで、［Applications（アプリケーション）］［Applications（アプリケーション）］に移動します。
  2. Okta Workflows OAuthアプリケーションを開きます。
  3. ［サインオン］タブをクリックし、［Client ID（クライアントID）］と［Client secret（クライアントシークレット）］の値をOktaの接続詳細にコピーします。

アカウントのタイプ

接続の作成に使用されるアカウントには、スーパー管理者の資格情報が含まれている必要があります。

多くの場合は、Okta Workflowsのスーパー管理者資格情報を使って特定のサービスアカウントを作成し、そのアカウントを使って接続を承認することをお勧めします。それ以外の場合、接続のセットアップに使われるOktaユーザーアカウントは、Okta Workflowsによって実行されるすべてのアクションと関連付けられます。

新しい機能とスコープ

Okta Workflowsのリリースによって機能が追加される、またはorgで機能が有効化されると、これらの更新によってOkta Workflows OAuthアプリで利用できるスコープにスコープが追加される場合があります。

新しいスコープを提供する機能がリリースまたは有効化されたら、「スコープの付与または取り消し」セクションに記載されている手順に従ってください。

スコープの付与または取り消し

Okta Workflows OAuthアプリでスコープを変更するには、Workflowsコンソールで次の手順を実行します。

［Applications（アプリケーション）］［Okta Workflows OAuth］［Okta API Scopes（Okta APIスコープ）］に移動します。利用できるスコープのリストが表示されます。
付与するスコープごとに［Grant（付与）］をクリックします。付与するスコープごとに［Revoke（取り消し）］をクリックします。
スコープがOkta Workflows OAuthアプリのリストにない場合は、Okta APIを使用してこれに対処できます。
1. まだスコープがない場合は、APIトークンを作成します。
2. 「スコープに同意を付与」APIエンドポイントを使用してスコープを手動で付与します。または、「アプリの付与を取り消し」APIエンドポイントを呼び出してスコープを取り消します。
  
  使用可能なすべてのスコープのリストについては、「OAuth 2.0スコープ］を参照してください。

既存のOkta接続にスコープの変更を反映させるには、接続を再承認する必要があります。

デフォルトスコープのリスト

以下は、Oktaコネクターの［権限］タブに表示されるデフォルトスコープです。

アスタリスク（*）が付いているスコープは自動的に付与されます。Okta Workflows OAuthアプリを使用して付与する必要はありません。

OAuthアプリで自動的に付与されたスコープを取り消すと、接続の承認が失敗します。

接続の要件に従ってスコープを付与するか、取り消します。

openid*
profile*
email*
phone*
address*
groups*
offline_access*
okta.apps.manage
okta.apps.read
okta.clients.manage
okta.clients.read
okta.clients.register
okta.deviceAssurance.manage
okta.deviceAssurance.read
okta.devices.manage
okta.devices.read
okta.eventHooks.manage
okta.eventHooks.read
okta.events.read
okta.factors.manage
okta.factors.read
okta.governance.accessCertifications.manage
okta.governance.accessCertifications.read
okta.governance.accessRequests.manage
okta.governance.accessRequests.read
okta.governance.entitlements.manage
okta.governance.entitlements.read
okta.groups.manage
okta.groups.read
okta.identitySources.manage
okta.identitySources.read
okta.idps.manage
okta.idps.read
okta.inlineHooks.manage
okta.inlineHooks.read
okta.linkedObjects.manage
okta.linkedObjects.read
okta.logs.read
okta.networkZones.manage
okta.networkZones.read
okta.policies.manage
okta.policies.read
okta.roles.manage
okta.roles.read
okta.schemas.manage
okta.schemas.read
okta.trustedOrigins.manage
okta.trustedOrigins.read
okta.users.manage
okta.users.read
okta.workflows.invoke.manage（限定早期アクセスリリース）

ベストプラクティス

次に、Oktaカードの追加の構成情報を示します。

［システムログを検索］のオプション

［Keyword（キーワード）］フィールドで、クエリパラメーターqは、ログイベントオブジェクトの属性値に対してキーワードマッチングを実行するために使用されます。すべての入力キーワードは正確に一致する必要があります（キーワードマッチングでは大文字と小文字が区別されます）。「システムログ」を参照してください。
null値が含まれる属性に対してキーワードマッチングを使用した場合、値は返されません。
eq演算子を使用してキーと値の各ペアを連結してから、and演算子を使用して各種のキーを結合します。その他の演算子を使用するには、［Custom Filter（カスタムフィルター）］フィールドを使用して独自の式を構築します。それらの事前定義されたフィールドと［Custom Filter（カスタムフィルター）］フィールドは、and演算子で連結します。「システムログ」を参照してください。

ユーザーまたはグループの取得

次の例は、最初の200グループとストリーミングレコードの両方を取得するための構成を示しています。

最初の200レコード

このフローは、ユーザーが参加した、月次ベースで最初の200グループを取得します。

親フロー
ヘルパーフロー

ストリーミングレコード

このフローは、特定のユーザーが参加したすべてのグループの1つの［カスタムフィールド］値を更新します。

親フロー
ヘルパーフロー