利用可能なWorkflowsテンプレート

以下は現在利用可能なテンプレートのリストです。各テンプレートは、それぞれのGitHubドキュメントページとサポートリソースに関連しています。

これらのテンプレートを使う方法については、「Workflows環境へのテンプレートの追加」を参照してください。

新しいWorkflowsテンプレートに関するアイデアがある場合は、Okta Ideasにアクセスして提案を提出してください。

次の表は、テンプレートで使用されるプライマリコネクターに基づいてまとめられています。

OktaおよびAuth0

コネクター

テンプレート

説明

Okta

期間を区切ってグループメンバーシップを割り当てる

期間限定でOktaユーザーグループにメンバーシップを付与します。たとえば、アプリケーションに対する監査アクセスをあるグループに付与して、それが30日後に失効するようにできます。また、開発者アクセスを割り当てたい期間限定の開発プロジェクトなども例として挙げられます。

Okta

Okta管理者ロールとAdmin Consoleへの最終ログインを監査します。

Okta orgへの管理者アクセスを定期的に監査すると、ユーザーが適切な管理者ロールを持っていることを確認するのに役立ちます。監査は、アクティビティに基づいて、管理者アクセスが不要になった可能性のあるユーザーを特定するのにも役立ちます。このテンプレートはすべての管理者ユーザー(Okta Admin Consoleに割り当てられているユーザー)を識別し、割り当てられている管理者ロールや、Okta Admin consoleへの最終ログインなどの情報をテーブルに更新します。

Auth0

放棄されたアカウントを閉じる

放棄されたアカウントは、強力なパスワードと多要素認証を使用している可能性は低いと考えられます。このテンプレートは、Okta Workflowsを使用してこのような放棄されたアカウントを削除することで、アプリケーションの全体的なセキュリティを強化する方法を示しています。このテンプレートを使用すると、非アクティブなユーザーにアカウントの期限切れについて自動的に警告し、そのアカウントが非アクティブのままであればAuth0からユーザーを削除することができます。

Okta

Google Drive

複数のOktaイベントに関するレポートを作成

1つの目的のために複数のイベントを利用する必要がある場合があります。各フローのコピーを作成してそれらを個別にメンテナンスする代わりに、ヘルパーフローとテーブルを活用してフローの繰り返しを抑えることができます。このテンプレートは、User Created(ユーザーの作成)User Okta Profile(ユーザーのOktaプロファイルの更新)User Deactivated(ユーザーの非アクティブ化)という3つのOktaイベントからユーザー属性の日次レポートを作成するためのシンプルなパターンを示したものです。テンプレートは、毎日午前0時に実行されるスケジュールされたフローによって、Googleドライブに日時レポートをアップロードします。

Okta

多要素認証消耗攻撃を検出し、それに対応

多要素認証(MFA)消耗攻撃は、攻撃者がユーザーの認証アプリにプッシュ通知を大量に送信するために使用する方法です。ユーザーがプッシュ通知を受け入れると、攻撃者はアカウントまたはデバイスに侵入できるようになります。これらのテンプレートは、Okta orgに対するアクティブな攻撃を検出して対応する手段を提供します。

Okta

不審なMFAプッシュ通知を検出

このテンプレートは、Okta Verifyによるプッシュ通知の送信時にフローをトリガーするイベントフックを使用します。

このフローは、サインインリクエスト(ソース)と成功したOkta VerifyPush(宛先)の両方の位置情報(都市、都道府県、国)をチェックします。都市が異なる場合、フローはセキュリティチームによる調査用に情報収集を継続します。

このフローは、ビジネスニーズに基づいてその他のダウンストリームアプリケーションに通知するように簡単に修正できます。

Okta

Encourage stronger MFA adoption(より強力なMFAの導入の勧め)

このテンプレートは、SMSの要素としての登録と使用を監視することで、Oktaエンドユーザーがより強力な要素をアカウントに登録することを奨励します。

Okta

Identity Governanceアクセス認定の猶予期間を有効にする

組織によっては、アクセス認定中に決定の取り消しが許可されることがあります。一部のキャンペーンでは、エンドユーザーが、アクセスが取り消されるまでの期間、リソースへのアクセスを保持する猶予期間が設けられます。このテンプレートは、このようなキャンペーン構成を可能にし、決定の取り消しの適用を将来の日付に持ち越します。日付は、猶予期間として付与される日数に従って決定されます。

Okta

Google Forms

Microsoft Forms

Postman

Okta Workflows APIエンドポイントへのフォームの送信

さまざまなクラウドプラットフォームサービスでは、IT管理者や開発者が、URLエンドポイントにPOST操作を送信できるフォームを構成できます。Workflows APIエンドポイントに対する操作によって送信されるデータは、従業員のオンボーディングやオフボーディング、Oktaグループへのユーザーの追加と削除、または構成済みWorkflows Connectorを使用するために使用できます。このテンプレートは、PostmanGoogle FormsMicrosoft Formsを使用してこれらのタスクを行う方法を示します。

Okta

ユーザーインポートインラインフックを使用した一意のユーザー名の生成

IT管理者は、組織内で新入社員を追加するために一意のOktaユーザー名を持っている必要があります。このテンプレートは、インラインフックとWorkflowsを使用して、インポートされたユーザーがOkta Universal Directory内に存在するかどうかを確認します。ユーザーが存在する場合、テンプレートはユーザー名をインクリメントして一意にします。例:jessiedoe1@example.com

Okta

メール要素チャレンジによる顧客検証の強化

カスタマーアイデンティティ認証の強化は、セキュリティを改良し不正行為を防止するため不可欠です。顧客がオンラインとオフラインのどちらかにかかわらず、オンラインでのショッピング、レストランでのテイクアウト食品の受け取りなどあらゆる行為についてID認証を組み入れる必要があります。カスタマーアイデンティティ認証を強化すると、2つの興味深い課題が生じます。1つ目は、信頼性に優れた時間ベースのワンタイムパスワード(TOTP)を含めるための、従来の静的パスワードベース認証を超えた顧客の本人確認です。次に、セキュリティを損なうことなく、摩擦のないエクスペリエンスを提供し続けることです。

Okta

非アクティブなOktaユーザーの識別

このテンプレートは、特定の基準を使って非アクティブユーザーを識別し、手動のプロビジョニング解除プロセスで見逃された古いアカウントがOktaテナントに存在するかどうかを判断します。たとえば、古いアカウントを削除することで、高価なアプリケーションライセンスを別のユーザー向けに解放できます。

このテンプレートは、Oktaテナントの中で最後のサインインタイムスタンプが特定の日付より前のすべてのユーザーを検索し、それらのユーザーに関する情報をWorkflowsテーブルに書き込みます。テーブル内のデータをダウンロード可能なCSVファイルにエクスポートするか、定期レポート用に添付ファイルとしてメールで送信することができます。このテンプレートを拡張して非アクティブユーザーを一時停止することもできます。

Okta

Slack

非アクティブなサードパーティユーザーを識別する

Okta内で管理されるSaaSアプリケーションの非アクティブなユーザーを識別することは、最小権限の原則を維持するための良い方法です。前のサインインデータに基づいて非アクティブなユーザーを検索することで、会社のポリシーで求められる改善措置を実行できます。この情報により、現在使用されておらず、キャンセルや再割り当てが可能な高価なアプリケーションライセンスも判明します。

このテンプレートは、一定期間サインインしていない、指定されたアプリケーションのユーザーを検索し、それらのユーザーをOktaグループに追加します。

Okta

ログストリーミングとOkta Workflowsを実装する

このテンプレートは、ログストリーミングとOkta Workflowsを実装し、Okta System Logから特定のイベントタイプをキャプチャすることに重点を置いています。ログストリーミングにより、Amazon EventBridgeやSplunk CloudなどのプラットフォームへのSystem Logイベントのほぼリアルタイムのエクスポートが可能になります。この機能を使用すると、不審なアクティビティを監視したり、特定のイベントへの対応を自動化したり、トラブルシューティングしたりできます。

Okta

APIエンドポイントを使ったフローの開始

Okta Workflowsはカスタムビジネスロジックを実装するための強力なツールです。REST APIを使ってOktaに直接オブジェクト(ユーザーやアプリケーション、グループなど)を作成する代わりに、JSONペイロードとともにオブジェクトリクエストをWorkflowsに送信できます。次に、カスタムビジネスロジックを実装して、Oktaの既存のオブジェクトをチェックするか、サードパーティに連絡してデータを検証できます。動的ロジックの結果に基づいて、Workflowsはアクションに対する決定を下し、柔軟な処理オプションを提供できます。

Okta

Custom API Actionの紹介

アクションが不足しているためにコネクターがニーズに合わないことがあります。Custom API Actionを使うと、Workflowsで利用できる任意のコネクターに汎用HTTPリクエストを行って、この制限を回避できます。このフローでは、Oktaユーザープロファイルの一部としてカスタムロール属性を使用します。サポートロール属性が付いたユーザーが作成された場合、そのユーザーはOktaHELP_DESK_ADMINロールに追加されます。

Okta

Slack

リストとヘルパーフローについて

ユーザーオブジェクトやアプリケーションオブジェクトなど、大量のデータがリスト形式で存在します。Okta Workflowsでは、ヘルパーフローを使用してリストの各メンバーを操作するという包括的な方法でリストを処理できます。リストはさまざまな方法で処理されます。各アイテムについてアクションを個別に実行し、親フローに何も返さないことも珍しくありません。また、アイテムごとの繰り返し実行による累積的な出力を保持し、親フローに返すこともできます。他にも多くのリスト操作があります。「親フローとその他のフロータイプ」を参照してください。

ヘルパーフローは、独立したフローとして存在するサブルーチンに過ぎませんが、メインまたは親フローからしか呼び出せません。ヘルパーフローは、リストの処理だけでなく、コードの再利用、チームの貢献の評価、コードのクリーンアップにも役立ちます。

Auth0

メールに基づいて新規ユーザーを既存のアカウントにリンク

このテンプレートは、Okta WorkflowsAuth0の重複する顧客アカウントを自動的にリンクすることで、顧客IDの管理を効率化できることを示しています。このテンプレートは、Webサイトにサインインするすべての新規ユーザーのメールアドレスを既存のユーザーベースに照らして確認します。重複が見つかると、ユーザーの2つのAuth0を自動的にリンクします。

Okta

HTTPリクエストカードを使ったAPIリクエスト

Webサービスと連携している多くの組織では、セキュアなHTTPSエンドポイントを使用して、APIゲートウェイで保護されたSaaSアプリケーションまたはオンプレミスAPIを呼び出す必要があります。このフローは、GET操作とPOST操作用のOkta Workflows HTTP未加工リクエストカードの使い方を、いくつかのサンプルコンテンツで示したものです。また、さまざまなWorkflowsカードを使ってJSONを処理する方法についても示されています。

Okta

プロファイル属性に基づいてOktaグループメンバーシップを管理

多くの組織では、ジョブコードに基づいて、またはより一般的にはロールベースのアクセス制御(RBAC)を実装するユーザープロファイル属性によって、一連のOktaグループメンバーシップが決定されています。このフローは、ユーザープロファイル属性に基づくグループの割り当てを示したものです。

Okta

Slack

失敗したフィッシング試行のモニタリング

このテンプレートは、フィッシング試行の失敗時にフローをトリガーするイベントフックを使用します。フローは、さらなる調査のためにフィッシングサイトのIPアドレスと影響を受けるユーザーをSlackチャンネルに送信します。

Okta

新規ユーザーの登録

カスタマーアイデンティティとアクセス管理(CIAM)のユースケースでは、多くの事業部、ロケール、ブランドで個別のユーザー管理業務が必要になる場合があります。このテンプレートは、登録コンテキストのカスタム処理の実装方法を示したものです。

Okta

Slack

プロファイル更新時にユーザーに通知

人事がスケジューリングした変更やユーザー自身による個人情報の変更、その他の自動変更など、ユーザープロファイルはさまざまな理由で更新される可能性があります。ただし、ユーザープロファイルのデータが正確で、ユーザーや権限を持つ管理者によって悪意のない形で更新されたことを常に把握する方法はあるのでしょうか。このフローでは、メッセージ(メールまたはSlack経由など)を送信してユーザーにプロファイルの更新を知らせることができます。連絡を受けたユーザーは、変更をレビューして確定できます。

Okta

Gmail

ユーザーをアクティブ化する前に、SMSの多要素認証に事前登録する

ユーザーをアクティブ化すると、通常はユーザーが最初にサインインするときMFA要素を選択して登録できます。サインイン時にユーザーのIDを検証することで、セキュリティ体制を改善します。ユーザーは、Active Directoryまたは人事システムからプロファイルの電話番号を使用して、SMS要素に登録できます。このフローは、このプロセスを自動化するもので、ユーザーがアクティブ化の通知を受信することを承認されており、自社のリソースにアクセス可能なことを確認します。

Okta

WorkflowsへのWebhookの送信によるOktaユーザーの隔離

不正アカウントに対するアクションの実行は、どのような組織のセキュリティ体制の増強にも役立ちます。Splunkのような外部システムは、不正アカウントであることを示す可能性がある特定のパターンを求めて常にデータを分析しています。アカウントを特定できれば、組織はそのアカウントを隔離し、重要アプリケーションへのそれ以上のアクセスを防止できます。

Webhookとして公開されると、外部システムはこのフローを呼び出して、ユーザーを検疫グループに追加することにより、インシデント対応の取り組みを支援できます。この検疫グループは、アクセスを拒否する個々のアプリケーションサインオンポリシーに関連付けられています。フローの最後で、Oktaはユーザーセッションをクリアし、ユーザーに再認証を強制します。ユーザーのアクセス先は、隔離されたイベントと関連付けられていないアプリケーションのみに制限されるようになりました。

このフローを拡張すれば、SlackMicrosoft Teamsなどのコラボレーションツールへのメールやメッセージによってエンドユーザー、マネージャー、管理者に通知することができます。

Okta

MuleSoft

オンプレミスのLDAPを参照

このテンプレートは、LDAPリポジトリーを参照して、Okta Workflows全体を検索する方法を示したサンプルです。このテンプレートは変更して、SQLデータベースなどあらゆる種類のリポジトリに適用できます。この例では、Mulesoft Anypointプラットフォームを活用して、Okta Workflowsが利用するAPIエンドポイントをホストしています。

Okta

リモート同期

レガシーシステムが廃止されるまでメンテナンスが必要な、複数のユーザーストアを多くのCIAM顧客が保有しています。Oktaで取得したID情報が変更されたら、それらの属性をダウンストリームに同期する必要があります。このテンプレートでは、実装が簡単で、自由にカスタマイズできる方法を使ってCRUD(作成・更新・削除)操作でリモートシステムを更新できます。

Okta

Slack

疑わしいアクティビティをレポート

エンドユーザーはこのテンプレートを使用して、アカウントのアクティビティに関するメール通知から、認識されないアクティビティをレポートできます。エンドユーザーがセキュリティのメール通知を受信した場合、[Report Suspicious Activity(疑わしいアクティビティをレポート)]をクリックしてレポートを送信できます。アクティビティがレビューされると、レポートが確認され、完了されます。

Okta

Google Workspace

Office 365管理者

Zoom

OktaGoogle WorkspaceOffice 365Zoomでユーザーセッションをリセットする

ユーザーのIdPとアプリケーション セッションのタイムリーな取り消しは、セキュリティ関連のイベントに対応する上で重要な部分です。このテンプレートは、OktaGoogle WorkspaceOffice 365Zoom でユーザー セッションを取り消す方法の例を示しています。テンプレートは、ヘルパーフローとしてトリガーされる単一のフローを使用します。このヘルパーフローは、次のようなイベントで役立ちます。

  • Oktaユーザーが停止された

  • Oktaユーザーが疑わしいアクティビティを報告した

  • Okta管理者がユーザーのパスワードのリセットを実行した

  • Okta管理者が委任されたフローをトリガーした

Okta

Gmail

Slack

パスワード侵害イベントの通知を送信

このテンプレートは、ユーザーの資格情報が侵害資格情報リストに掲載された場合にユーザーに通知するサンプルフローを提供します。Okta System Logには、これは侵害されたパスワードイベントとして記録されます。

このテンプレートは、イベントフックを使用してAPIエンドポイントをトリガーし、フローを開始します。次に、通知メッセージを作成し、GmailおよびSlackコネクターを介してユーザーに送信します。これらのコネクターは、通知方法を示す例としてのみ提供されています。このテンプレートは、特定のビジネスプロセスとアプリケーションに合わせてカスタマイズできます。

Okta

アクティブでないユーザーを停止

多くの組織では、ユーザーはアクセス権を必要以上に長く保持します。1つのアプリにしかアクセスする必要がない契約社員がいる組織もあれば、退職した社員に対して十分な退職ポリシーが適用されていない組織もあります。たとえば、数か月にわたってサインインしていないユーザーがいる場合、実際にアクセスする必要があることがわかるまでそのユーザーを停止できると便利なことがあります。強力なセキュリティ体制を実現するためにこのようなポリシーを導入します。このフローは環境内のすべてのアクティブユーザーを参照、過去6か月(180日)以内にサインインしていないユーザーがいればそのユーザーを停止します。

ビデオ:アクティブでないユーザーを停止

Okta

Temporarily exempt users from MFA(ユーザーに対してMFAを一時的に免除)

従業員が携帯電話を紛失して交換することは珍しくありません。セカンダリAuthenticator情報をリセットできるようユーザーに一時的なアクセスを許可できます。これを行うには、ユーザーが確実性の高いサインオンポリシーに準拠するデバイスを入手するまでの間、厳格性の低い認証ポリシーをユーザーに適用します。このテンプレートは、定義された時間だけ、Oktaユーザーに対してMFAポリシーを免除します。

ビデオ:ユーザーに対してMFAを一時的に免除

Okta

Slack

Oktaでのアカウント乗っ取りの可能性の追跡とアラート

アカウント乗っ取りは、詐欺の重要なターゲットであり、不正行為者が特権アカウントのパスワードのリセットやアクセスレベルの変更を成し遂げたときに達成されます。自動化されたフローでこれら2つのベクトルを動的に監視して対応することで、これらのコストのかかる攻撃のリスクが大幅に軽減されます。このテンプレートは、Okta Workflowsが応答を自動化して、アカウントの乗っ取り(ATO)試行に対抗する方法を示しています。また、セルフサービスとヘルプデスクベースのアカウント回復でリスクを軽減する方法も示しています。テンプレートは、ユーザーのパスワードとMFA要素のリセットおよびアクティブ化イベントを監視して、ユーザーのアカウントがATOの脅威にさらされているかどうかを判断します。

Okta

Slack

すべてのMFA係数のリセット時に自動通知をトリガーする

全MFA係数のリセットは、不正アクター、人的エラー、IT管理者による顧客の支援など、さまざまな要因によって引き起こされます。セキュリティ向上とリスク削減には、内部チームが次の手順を特定できるようなタイムリーな通知が重要です。このテンプレートは、ユーザーのすべてのMFA係数がリセットされた際に自動的に内部チームに通知する方法を示します。

Okta

特殊文字の検証と置き換え

ユーザーの名前(samAccountNameなど)やメールアドレスを使って技術的なフィールドを生成する場合、特定のデータフィールドのデータに無効な文字が含まれることがよくあります。たとえば、メールアドレス内のスペースなどです。このテンプレートは、最も一般的な特殊文字のいくつかを識別し、置き換えを行います。その後で、検証または修正後の名前をOktaのユーザープロファイル属性に配置します。これにより、元の名前は表示用に保持され、技術的な目的には更新された名前が使用されます。

Okta

登録中にメールドメインを検証する

Oktaインラインフックを使用すると、Oktaプロセスフロー内の特定のポイントでカスタムプロセスをトリガーできます。

このテンプレートのフローは、ユーザーのセルフ登録プロセス中にインラインフックによって呼び出されます。Workflowsを使用して、メールドメインの検証を強制適用します。ユーザーのメールドメインがWorkflowsテーブルの許可リストにない場合、登録は拒否され、情報付きのエラーが表示されます。

Okta

Workflowsチュートリアル

Workflowsチュートリアルテンプレートは、Okta Workflowsでのエクスペリエンスを強化するように設計されている包括的なガイドです。このリソースを使用すると、初心者と熟練ユーザーの両方に対してフローの強力な自動化機能を示すことができます。このテンプレートをOktaプレビュー組織に統合すれば、サンプルユーザーや、Okta Workflowsの汎用性と効率性を示す一連のフローにアクセスできるようになります。

Google

コネクター

タイトル

説明

Gmail

アプリケーションの新規ユーザーにウェルカムメールを送信

ウェルカムメールは、組織が新しい顧客や従業員に送る最初のあいさつです。「ようこそ」メールには特別なプロモーションコードや、ユーザーエクスペリエンスを拡張する情報も記載できますが、単なる歓迎の言葉だけでもかまいせん。このテンプレートは、新規ユーザーにウェルカムメールを自動的に送信する方法を示したものです。

Gmail

Google Drive

添付ファイル付きのメールの送信

このテンプレートは、Gmailを使用して、Googleドライブからの添付ファイル付きメールを送信する方法を示したものです。

Google Drive

Googleドライブでのファイルの再割り当てとプロビジョニング解除

Googleドライブを使用している多くの組織では、元のユーザーが退社した時など、ユーザーのGoogleドライブにあるコンテンツを別のユーザーに転送するメカニズムを必要としています。このフローでは、ユーザーのGoogleドライブから上司にファイルを転送し、ユーザーを削除できます。

Googleスプレッドシート

Gmail

Googleスプレッドシートを使ってレポートを作成

多くの組織が特定のライフサイクルイベントに関するレポートについてorg固有の特別なニーズを抱えており、組織の他のユーザーとデータを共有しています。Okta System Logは強力ですが、Oktaの管理者しか使えず、レポートのスケジュール設定をすることもできません。このフローは、オンラインスプレッドシートにカスタムレポートを構築(\"user suspended\"イベントを使用)し、イベント発生時にそのレポートを関係者と共有するためのものです。

Googleスプレッドシート

Googleスプレットシートからユーザーをインポート

連携されていないユーザー層(契約社員や特定のオフィスなど)をOktaにインポートする必要がある場合、CSVかフラットファイルを使えば最も簡単にこれらのユーザーをOktaに作成できます。このフローは、Googleスプレッドシートからユーザーをインポートする方法、For Eachループの使い方に関するガイドとなるものです。このフローは、指定したGoogleスプレットシートからすべてのユーザーを読み取り、毎週月曜日の午前6時(米国西海岸標準時)にそれらのユーザーをOktaに作成します。

Google Workspace

一意のメールアドレスを生成

組織にユーザーを迎え入れるために、IT担当者はOffice 365Google Workspaceなど、ダウンストリームアプリケーションでエンドユーザーに一意のメールアドレスを生成する必要があります。このフローでは、Oktaに登録されるすべてのユーザーに対して一意のメールアドレスが生成されます。

Google Workspace

G Suiteへの未加工HTTPリクエストの作成

現行のGoogle Workspaceコネクターは、Google Workspace API内ですべてのエンドポイントへのアクセスを提供しません。Custom API Actionカードも、Directory APIエンドポイントとLicensing APIエンドポイントに制限されています。このテンプレートを使用すると未加工のHTTPリクエストを作成し、必要なスコープを取得できます。

Google Workspace

Gmail

Google Workspaceユーザーライセンスを管理する

このテンプレートは、Google Workspaceのユーザーを無効化し、指定した期間が経過した後で、そのユーザーに割り当てられているGoogle Workspaceライセンスを削除するものです。このフローには、ユーザーを再アクティブ化し、以前に削除されたGoogle Workspaceライセンスを再割り当てする部分もあります。

Google Workspace

Gmail

Google Calendar

Okta

Google Workspaceユーザーをオフボーディングする

このテンプレートは、ターゲットユーザーをオフボーディングするときにGoogle Workspaceでいくつかのタスクを実行する方法を示します。

  • メールボックスの委任
  • メールボックスのメール転送
  • メールボックスの自動返信
  • Oktaユーザーセッションの削除
  • Google Workspaceライセンスの削除
  • すべてのユーザーのGoogle Workspace ASPの削除
  • Google Workspaceのすべてのユーザーデバイスの削除
  • Google Workspaceのすべてのユーザーアクセストークンの削除
  • Google Workspaceディレクトリユーザーの非アクティブ化
  • Google Drive移行リクエストの作成
  • Google Calendar移行リクエストの作成

Google Workspace Admin

ChromeOSデバイスのパスワードの同期

Google ChromeOSは、レガシー・オペレーティング・システムより多くのメリットを持つ、急成長中のプラットフォームです。ChromeOSとOktaを利用することで、Oktaの資格情報を使ってデバイスを承認し、その資格情報をOkta Workflowsと同期させることができます。

Microsoft

コネクター

タイトル

説明

Microsoft

Okta WorkflowsによるオンプレミスPowerShellの実行

Oktaでは、Okta WorkflowsAzure Automationの組み合わせによりPowerShellオンプレミスを実行できます。Azure Automationはクラウドベースの自動化サービスで、Azure、オンプレミスのAzure以外、ハイブリッドの環境の全体にわたって自動化をサポートします。

このガイドでは、IT管理者向けに、Oktaからのユーザーのライフサイクル管理にPowerShellの実行を組み入れるため、何が必要かについて解説します。

Microsoft

Microsoftアラートをサブスクライブし、潜在的なセキュリティ問題を管理者に通知

Microsoftアラートサブスクリプションを使用することで、APIエンドポイント、メール、コラボレーションスペース、クラウドアプリ、ユーザーIDにわたるセキュリティサーフェスを管理できます。

Microsoft Teams

Microsoft Teams内の通知によってOktaアカウントをアクティブ化/非アクティブ化

このテンプレートは、Oktaユーザーのプロファイルに保存されている開始日/終了日に基づいてOkta WorkflowsOktaユーザーアカウントを自動的にアクティブ化/非アクティブ化する方法を示します。その上でテンプレートはMicrosoft Teamsを使って通知を送信します。

Office 365管理者

Office 365ゲストユーザーアカウントを作成

複数のOffice 365テナントを使用する企業が増えてきています。M&A事業を行っている企業では特にこれが顕著です。このような場合、ユーザーは複数のテナントにアクセスする必要があります。多くの企業がMicrosoftのゲストアカウントを使うことでこの問題のライセンス面に対処しています。ただし、これらのユーザーの作成と管理を自動化するのは面倒な作業です。このフローを使えば、コードを使ったり、コードをホスティングする特別なインフラストラクチャを用意しなくても、ゲストアカウントを簡単に作成できます。

Office 365管理者

一意のメールアドレスを生成

組織にユーザーを迎え入れるために、IT担当者はOffice 365Google Workspaceなど、ダウンストリームアプリケーションでエンドユーザーに一意のメールアドレスを生成する必要があります。このフローでは、Oktaに登録されるすべてのユーザーに対して一意のメールアドレスが生成されます。

Office 365管理者

Office 365 Adminでのオンボードとオフボード

このフローでは、Office 365 Adminのユーザーを無効化し、指定した期間が経過した後でそのユーザーに割り当てられているOffice 365ライセンスを削除できます。また、Office 365 Adminのユーザーを再度有効にし、以前削除したOOffice 365 Adminライセンスを再度割り当てることもできます。

Office 365 Admin

OktaグループメンバーシップとOffice 365のUnifiedグループを同期

このテンプレートは、カスタムプロファイル属性とOkta Workflowsを使ってOktaグループメンバーシップとOffice 365のUnifiedグループを同期します。Office 365のUnifiedグループがないときは、含まれているフローを使って新たに作成し、Oktaグループを使ってグループメンバーシップを管理できます。

Office 365 Mail

契約社員の契約満了日通知を作成

多くの組織では、フルタイム従業員に加えて契約社員も雇用しています。契約社員には通常、現在の契約が期限切れになる日付があります。このテンプレートは、この日付までに組織内の人々にプロアクティブに通知する方法を示しています。たとえば、従業員の契約を更新する可能性のある契約社員のマネージャーなどです。

Office 365 Mail

上司にActive Directoryの資格情報を送信

多くの組織がユーザーの資格情報を管理するためにActive Directory(別名Active Directory委任認証)を使用しています。OktaActive Directoryの統合はユーザープロビジョニングを可能にしますが、組織にはアカウント資格情報をユーザーに伝えるソリューションが必要です。新入社員のオンボード時、企業では新入社員のアカウントをあらかじめ設定しておく必要がある場合があります。しかし、この新入社員は入社日までシステムやメールを利用ないかもしれません。このようなシナリオでは、企業が新入社員の上司にワンタイムパスワード付きのアカウント資格情報をメールで送信できます。このフローは、「アプリケーションへのユーザーの割り当て」イベントを使用してActive Directoryに追加されたユーザーを特定する方法を示しています。その後、それらのユーザーの上司のメールアドレスが取得され、通知が送信されます。

Office 365 Mail

Office 365を使ってメール通知を送信

このフローでは、ユーザーがOktaで停止された時にOffice 365を使ってメール通知を送信します。管理者はユーザーの停止を簡単に追跡できます。こちらは汎用的な通知テンプレートとなっています。通知のユースケースに合わせて、イベントとメールプロバイダー(Gmailへの切り替え)の両方を簡単に切り替えることができます。

その他のサードパーティー製コネクター

コネクター

タイトル

説明

Adobe Sign

Adobe Signでのドキュメント署名のキャプチャ

多くの組織では、Adobe Signを使用して、ユーザーがアクセスできるリソースを規定する契約を管理しています。たとえば、機密保持契約(NDA)、リース契約、利用規約(TOS)などが一般的なリソースタイプです。このテンプレートはAdobe SignのWebhookを活用し、ユーザーがドキュメントに署名するタイミングをキャプチャします。Oktaはこの情報を使用して、ユーザーがアクセスできるシステムとそのセキュリティレベルを判定できます。

AWS Lambda

AWS DynamoDBとLambdaを利用したOktaプロファイル属性の入力

このフローは、外部テーブルから取得された関連値を使ってユーザーのプロファイルを強化する方法を示しています。このフローはシンプルなAmazon Web Service(AWS)DynamoDBテーブルを使用し、データの取得はAWS Lambda関数によって処理されます。このフローは、AWS Lambdaコネクターを使用して該当するLambda関数を呼び出します。このユースケースは、ユーザーが入力した郵便番号に基づいており、郵便番号を利用して市、州、タイムゾーンなどの関連値を取得します。

AWS SSO

AWS SSOエンタイトルメントを管理

AWS SSOコネクターでは、OktaおよびAmazon Web Service (AWS)のユーザーとグループのエンタイトルメント(アカウントと権限のセット)を追加したり削除したりできます。このコネクターは、OINカタログで利用可能なAWS SSO SCIMプロビジョニングアプリと連携して動作します。OktaユーザーがOktaグループに追加、または削除されると、このテンプレートのフローがトリガーされます。Oktaグループがエンタイトルメントを保持し、それと連動する形でユーザーがAWSで更新されます。ヘルパーフローとテーブルを使ってエンタイトルメントの追加と削除を行う方法について、2つの例を示します。

Box

Office 365 Mail

Boxによるデプロビジョニング時のファイル再割り当て

このテンプレートは、ユーザー用のBoxアカウントを作成し、フォルダを作成して、ユーザーのマネージャーにメールで通知を送信します。また、このフローはユーザーが特定のOktaグループから削除されると、ユーザーのBoxファイルとフォルダーをマネージャーに転送します。

Darwinbox

Okta

Darwinboxを使ったライフサイクル管理の自動化

これらのフローは、Darwinbox内のメールIDの自動更新を含め、Okta Workflowsがユーザーの作成、更新、非アクティブ化プロセスを自動化する方法の概要を示します。

DocuSign

DocuSignでのドキュメント署名のキャプチャ

多くの組織では、DocuSignを使用して、ユーザーがアクセスできるリソースを規定する契約を管理しています。たとえば、機密保持契約(NDA)、リース契約、利用規約(TOS)などが一般的なリソースタイプです。このテンプレートは、DocuSign Webhookを使用して、ユーザーがドキュメントに署名するタイミングをキャプチャします。Oktaはこの情報を取得して、グループおよびアプリケーションアクセスの管理に使用される属性を入力します。

GitHub

Gmail

Githubを利用したフローとフォルダのバージョン管理

このテンプレートを利用することで、フローの作成者はフローをオンデマンドで、または自動ベースでGitHubGoogle Driveなどの外部システムにバックアップできます。これを実現するために、フローまたはフォルダをエクスポートする機能を新たに開発し、GitHubコネクターを強化することで作成者がプルリクエストをコミットまたはオープンできるようにしました。環境に簡単にインポートでき、フローとフォルダの両方のバージョン管理を丁寧に案内するテンプレートセットも用意されています。

GoPhish

GoPhishからのフィッシングイベントのキャプチャ

このテンプレートは、GoPhishによってキャプチャされたフィッシングイベントをリッスンします。たとえば、ユーザーがメールのフィッシングリンクを開いたとき、または情報や資格情報をフィッシングページに送信したときなどです。Oktaはこの情報を使用してサインイン手順を変更し、セキュリティイベントの発生時にユーザーの資格情報をリセットします。

Jamf Pro Classic API

Jamf ProOktaを利用してカスタマイズされた条件付きアクセス

ユーザーのAppleデバイスコンプライアンスに基づいて、Oktaユーザーに完全にカスタマイズ可能な条件付きアクセスフローをセットアップします。

Jamf Pro Classic API

Okta

OktaJamf Proを利用した、ユーザーオフボーディング時のAppleデバイスのロック

リモートワーカーを管理するIT管理者は、リモートユーザーが非アクティブ化されると、実際の課題に直面する可能性があります。IT部門は、会社に関連するすべてのデバイスが使用できないようにする必要があります。このフローは、Jamf Proで特定のユーザーに割り当てられたすべてのAppleデバイスを、そのユーザーがOktaで非アクティブ化された時点でリモートにロックする自動的な方法を提供します。

Jamf Pro Classic API

特定のAppleモバイルデバイスを週次ベースで再起動する

Appleモバイルデバイスは、会議室のコントロールパネル、顧客向けのデモユニット、自動キャッシュマシンなどのシナリオで共有デバイスとして使用できます。これらのデバイスは、保留中のアップデートをインストールするために時々再起動する必要がありますが、Jamf Proではそのようなアクションを長期的にスケジュールする組み込みメソッドが提供されていません。

Jira

アカウント作成をJiraから自動化する

新規従業員のオンボーディングは、複数の内部チームからの情報や、異なる承認ツールやアカウント作成ツールの統合を必要とする複雑なプロセスです。さらに、ユーザーアカウントのアクティブ化前に、オリエンテーションの完了や認定の獲得を新規従業員に求める企業もあります。この複雑さは、承認を追跡し、特定の日に各ユーザーアカウントをアクティブ化するIT管理者の負担を増します。このプロセスを自動化することで、人的エラーを軽減し、セキュリティ体制を強化できます。このテンプレートは、承認済みのJiraサービスリクエストによってトリガーされる、Oktaの自動化されたアカウント作成とアクティブ化の例を提供します。

Jira

Atlassian IDを取得する

Jiraコネクター内でサポートされるアクションの多く(問題の作成やユーザーへの問題の割り当てなど)は、Atlassian IDを必要とします。このヘルパーフローを使用すると、必要なときにユーザーのAtlassian IDを見つけることができます。

Kandji

セキュリティイベントに基づいてすべてのKandjiデバイスをリモートでロックする

IT管理者は、従業員が離職したときに会社に関連するすべてのデバイスにアクセスできないようにしたいと考えています。このテンプレートは、ユーザーがアカウントで停止、非アクティブ化、または疑わしいアクティビティを報告した場合に、Kandjiで特定のユーザーに割り当てられたすべてのKandjiデバイスをリモートでロックするための自動化された方法を提供します。

Marketo

再マーケティングのために非アクティブユーザーをMarketoに追加する

このテンプレートは、Okta WorkflowsMarketoを組み合わせて使用して顧客の再エンゲージメントを促し、Webサイトへの訪問数を増やす方法を示しています。このテンプレートは、Marketoに最近サインインしていない顧客のリストを自動的に保持します。その後、Marketoを使用してこれらの顧客のエンゲージメントを促すキャンペーンをセットアップできます。

Marketo

Marketoで新規リードを作成する

このテンプレートは、B2C企業がOkta Workflowsを使用してMarketoと顧客を同期する方法を示しています。このテンプレートを使用すると、自社のWebサイトにサインインした新規ユーザー全員がMarketoにプロファイルを持つようになります。これにより、エラーが発生しやすい手動のインポートプロセス回避するとともに、マーケティングキャンペーンを通じて即座に新規ユーザーに働きかけることで、エンゲージメントと顧客維持率を向上させることができます。

Onfido

Onfido申請者を作成する

本人検証の場合、このフローはOktaコネクター用のユーザー作成イベントカードを使用してOnfido申請者を作成し、申請者IDをユーザーのOktaプロファイルに保存します。

OpenAI

Google Drive

OpenAIプロンプトの例

タスクを自動化したり、クリエイティブコンテンツを生成したりする方法を学習するのに役立つ実用的なプロンプトの例を活用することで、人工知能の可能性を見出すことができます。このコネクターは、OpenAIの高度な機能をOkta Workflowsに直接もたらし、ビジネスプロセスでこれまでにないレベルの効率性と創造性を実現できるようにします。

Opsgenie

Gmail

Opsgenieでオンコールローテーションとスケジュールを管理する

このテンプレートは、オンコールローテーションとスケジューリングに関連して、Opsgenieで頻繁に使用されるさまざまなタスクを自動化するのに役立ちます。

PagerDuty

疑わしいアクティビティイベントのPagerDuty警告

Oktaでは、ユーザーが認識していないアクティビティを組織管理者に報告できます。そのような疑わしいアクティビティの報告をただちに調査することは、不正行為の予防に不可欠です。このテンプレートは、疑わしいアクティビティが報告されたとき、PagerDutyにインシデントを自動的に作成する例を示したものです。

Pendo

Okta Workflowsを使ったPendoメタデータの同期

このフローは、ユーザーのプロファイルデータをOktaからPendo Adoptにプッシュします。Oktaで情報が変更された場合にOkta WorkflowsPendo内のユーザーデータを自動的に更新できるため、PendoはOktaのお客様にこのアプローチを推奨しています。「Okta Workflowsを使ったPendoメタデータの同期」を参照してください。

Personio

PersonioでAnything-as-a-Service(XaaS)を実装

このテンプレートでは、XaaSモデルを実装してPersonioからレコードをインポートする方法を示します。このフローでは、Personioにレコードをリクエストし、取得したレコードリストを一時Workflowsテーブルに保存してから、インポートセッションを作成して一括インポートリクエストを処理します。

Salesforce

Salesforceで連絡先を作成

このテンプレートは、B2C企業がOkta Workflowsを使用して顧客をCRMソリューションに自動的に同期する方法を示しています。このテンプレートを使用すると、自社のWebサイトにサインインした新規ユーザー全員がSalesforceアカウント内の連絡先になります。

Salesforce

Salesforceでユーザーを作成

ユーザープロビジョニングやサードパーティシステムでのユーザー作成は、Oktaのライフサイクル管理プロダクトにとって最も基本的なユースケースの1つです。Salesforceなどのシステムへのアクセスを提供するには、適切なプロフィール属性と権限を持ったアカウントをそのシステムで新規作成ユーザーのために用意する必要があります。このフローは、Salesforceでユーザーを作成し、部署に応じてユーザーにプロフィールを割り当てるのに役立ちます。

Secure Code Warrior

GitHub

Slack

Secure Code Warriorの評価ステータスに基づいてGitHubへのアクセスを管理する

このフローは、ユーザーが必須のSecure Code Warrior評価に合格している場合に、GitHubレポジトリへのアクセスを付与します。このフローは、ユーザーがGitHubアプリケーションにアサインされたときにトリガーされます。

SendGrid

SendGridによるパスワード変更の通知

エンドユーザーのセキュリティは、すべてCIAM顧客にとって大きな懸念です。エンドユーザーに対し、パスワードが変更されたときに通知し、それによって知らないうちにパスワードが変更された場合に警告することができれば、アカウント乗っ取りの危険を軽減できます。この通知は、複数のアプリケーションブランドにわたってブランディングすることが重要です。Workflowsはパスワード変更イベントに対応し、エンドユーザーにカスタマイズされた通知を送信します。フローを開始するトリガーイベントは、OktaでのUser Password Changedイベントです。これは、ユーザーがセルフサービスのパスワード変更を開始した、またはパスワードが管理アクションによって設定された場合に発生します。カスタマイズされたHTMLメールテンプレートは、ユーザーとイベントのコンテキストを動的に代替します。

ServiceNow

高リスクログインに対処するためにServiceNowチケットを作成する

このテンプレートは、Okta Workflowsを使用して高リスクの顧客サインインから保護する方法を示しています。高リスクサインインが発生すると、テンプレートは関連情報を含むServiceNowインシデントを自動的に作成します。これにより、セキュリティチームは迅速に対処し、サイトへのリスクを軽減することが可能になります。

ServiceNow

ServiceNowによるプロビジョニングの承認

ServiceNowを使用している多くの組織では、元々持っているアクセス権より下位のアクセス権を取得するのに承認が必要です。作成時にデフォルトのアクセスが付いた状態でプロビジョニングされたユーザーがいるものの、プロビジョニング前に承認が必要な特定のグループアクセスがある場合があります。このフローは、ServiceNowを使ってこのようなユースケースで承認を得るのに役立ちます。

Slack

異常なSlackセッションの無効化

このフローは、セッションのハイジャックに関連する異常をSlackが検出した場合にセキュリティオペレーションチームがSlackセッションを無効化し、管理者に連絡するように設計されています。

このフローは、異常なイベントについてSlack Risk Audit APIを定期的にチェックし、セキュリティ関連の特定の関心イベントについて結果をフィルタリングします。このフローは、異常なイベントに関連する任意のSlackセッションを無効化します。

また、これらのイベントについて組織のセキュリティオペレーションチームまたはSlack管理者に通知するようにも構成されています。通知を受けた管理側は、ユーザーがアカウント乗っ取りの被害を受けているかどうかを調査できます。

Slack

BlocksによるSlackメッセージの送信

このテンプレートはSlackのBlock UIフレームワークを使用して、構造化され、視覚的に魅力的なメッセージを作成します。柔軟な設計により、組織の特定のニーズに合わせてメッセージの内容と形式をカスタマイズできます。

SmartHR

SmartHRでAnything-as-a-Service(XaaS)を実装

このテンプレートでは、XaaSモデルを実装してSmartHRからレコードをインポートする方法を示します。このフローでは、SmartHRにレコードをリクエストし、取得したレコードリストを一時Workflowsテーブルに保存してから、インポートセッションを作成して一括インポートリクエストを処理します。

Shopify

Shopifyカスタマーアイデンティティを自動的に同期

ダウンストリームアプリケーション間でユーザーIDを一貫した形で維持することは、優れたユーザーエクスペリエンス、コンプライアンス、ガバナンスに不可欠です。グループメンバーシップに基づいてダウンストリームアプリケーションを自動的にプロビジョニングすると、単純で効果的なソリューションを実現できます。このテンプレートは、Okta内のグループメンバーシップに基づいてShopify顧客を作成・更新・削除するブループリントになります。

Twilio

Twilio経由でSMSを送信する

このフローは、TwilioからSMSメッセージを送信する方法を示しています。

VMWare Workspace ONE

VMware Workspace ONEからデバイスのセキュリティイベントをキャプチャ

このテンプレートはVMware Workspace Oneのセキュリティイベントをリッスンし、侵害されたデバイスまたはコンプライアンス違反のデバイスをキャプチャします。Oktaはこの情報を使用して、ユーザーがアクセスできるシステムとそのセキュリティレベルを判定します。

Yubico

Yubico FIDO事前登録

Yubico FIDO事前登録テンプレートを利用することで、IT管理者はYubico Enterprise API、Okta WebAuthn API、Okta Workflowsプラットフォームを使ってエンドユーザー向けのFIDO2 YubiKeyを調達できます。

FIDO2 YubiKeyは事前に登録され、個別に提供されるランダム生成の一意のPINを使用して、指定の受信者に直接発送されます。

関連項目

Workflowsテンプレート

Workflows環境へのテンプレートの追加