利用可能なWorkflowsテンプレート

Microsoft Teams内の通知によってOktaアカウントをアクティブ化/非アクティブ化します。

このテンプレートは、Oktaユーザーのプロファイルに保存されている開始日/終了日に基づいてOkta WorkflowsがOktaユーザーアカウントを自動的にアクティブ化/非アクティブ化する方法を示します。その上でテンプレートはMicrosoft Teamsを使って通知を送信します。

Assign group memberships temporarily based on time（期間を区切ってグループメンバーシップを割り当てる）

期間限定でOktaユーザーグループにメンバーシップを付与します。たとえば、アプリケーションに対する監査アクセスをあるグループに付与して、それが30日後に失効するようにできます。また、開発者アクセスを割り当てたい期間限定の開発プロジェクトなども例として挙げられます。

Okta管理者ロールとAdmin Consoleへの最終ログインを監査する

Okta orgへの管理者アクセスを定期的に監査すると、ユーザーが適切な管理者ロールを持っていることを確認するのに役立ちます。監査は、アクティビティに基づいて、管理者アクセスが不要になった可能性のあるユーザーを特定するのにも役立ちます。このテンプレートはすべての管理者ユーザー（Okta Admin Consoleに割り当てられているユーザー）を識別し、割り当てられている管理者ロールや、Okta Admin consoleへの最終ログインなどの情報をテーブルに更新します。

アカウント作成をJiraから自動化する

新規従業員のオンボーディングは、複数の内部チームからの情報や、異なる承認ツールやアカウント作成ツールの統合を必要とする複雑なプロセスです。さらに、ユーザーアカウントのアクティブ化前に、オリエンテーションの完了や認定の獲得を新規従業員に求める企業もあります。この複雑さは、承認を追跡し、特定の日に各ユーザーアカウントをアクティブ化するIT管理者の負担を増します。このプロセスを自動化することで、人的エラーを軽減し、セキュリティ体制を強化できます。このテンプレートは、承認済みのJiraサービスリクエストによってトリガーされる、Oktaの自動化されたアカウント作成とアクティブ化の例を提供します。

Automatically sync Shopify customer identity（Shopifyカスタマーアイデンティティーを自動的に同期）

ダウンストリームアプリケーション間でユーザーIDを一貫した形で維持することは、優れたユーザーエクスペリエンス、コンプライアンス、ガバナンスに不可欠です。グループメンバーシップに基づいてダウンストリームアプリケーションを自動的にプロビジョニングすると、単純で効果的なソリューションを実現できます。このテンプレートは、Okta内のグループメンバーシップに基づいてShopify顧客を作成・更新・削除するブループリントになります。

Capture device security events from VMware Workspace ONE（VMware Workspace ONEからデバイスのセキュリティイベントをキャプチャ）

このテンプレートはVMware Workspace Oneのセキュリティイベントをリッスンし、侵害されたデバイスまたはコンプライアンス違反のデバイスをキャプチャします。Oktaは、この情報を使用してユーザーがアクセスできるシステムとそのセキュリティレベルを判定します。

Adobe Signでのドキュメント署名のキャプチャ

多くのOrganizationでは、Adobe Signを使用して、ユーザーがアクセスできるリソースを規定する契約を管理しています。たとえば、機密保持契約（NDA）、リース契約、利用規約（TOS）などです。このテンプレートはAdobe SignのWebhookを活用し、ユーザーがドキュメントに署名するタイミングをキャプチャします。Oktaは、この情報を使用してユーザーがアクセスできるシステムとそのセキュリティレベルを判定できます。

DocuSignでのドキュメント署名のキャプチャ

多くのOrganizationでは、DocuSignを使用して、ユーザーがアクセスできるリソースを規定する契約を管理しています。たとえば、機密保持契約（NDA）、リース契約、利用規約（TOS）などです。このテンプレートは、DocuSign Webhookを使用して、ユーザーがドキュメントに署名するタイミングをキャプチャします。Oktaはこの情報を取得して、グループおよびアプリケーション アクセスの管理に使用される属性を入力します。

GoPhishからのフィッシングイベントのキャプチャ

複数のOktaイベントに関するレポートを作成

1つの目的のために複数のイベントを利用する必要がある場合があります。各フローのコピーを作成してそれらを個別にメンテナンスする代わりに、ヘルパーフローとテーブルを活用してフローの繰り返しを抑えることができます。このテンプレートは、ユーザーの作成、ユーザーのOktaプロファイルの更新、ユーザーの非アクティブ化という3つのOktaイベントからユーザー属性の日次レポートを作成するためのシンプルなパターンを示したものです。テンプレートは、毎日午前0時に実行されるスケジュールされたフローによって、Googleドライブに日時レポートをアップロードします。

Googleスプレッドシートを使ってレポートを作成

多くのOrganizationが特定のライフサイクルイベントに関するレポートについてOrganization固有の特別なニーズを抱えており、Organizationの他のユーザーとデータを共有しています。Okta System Logは強力ですが、Oktaの管理者しか使えず、レポートのスケジュール設定をすることもできません。このフローは、オンラインスプレッドシートにカスタムレポートを構築(\"user suspended\"イベントを使用)し、イベント発生時にそのレポートを関係者と共有するためのものです。

Onfido申請者を作成

本人確認の場合、このフローはOktaコネクター用のユーザー作成イベントカードを使用してOnfido申請者を作成し、申請者IDをユーザーのOktaプロファイルに保存します。

契約社員の契約満了日通知を作成

多くのOrganizationでは、フルタイム従業員に加えて契約社員も雇用しています。契約社員には通常、現在の契約が期限切れになる日付があります。このテンプレートは、この日付までに組織内の人々にプロアクティブに通知する方法を示しています。たとえば、従業員の契約を更新する可能性のある契約社員のマネージャーなどです。

Office 365ゲストユーザーアカウントを作成

複数のOffice 365テナントを使用する企業が増えてきています。M&A事業を行っている企業では特にこれが顕著です。このような場合、ユーザーは複数のテナントにアクセスする必要があります。多くの企業がMicrosoftのゲストアカウントを使うことでこの問題のライセンス面に対処しています。ただし、これらのユーザーの作成と管理を自動化するのは面倒な作業です。このフローを使えば、コードを使ったり、コードをホスティングする特別なインフラストラクチャを用意しなくても、ゲストアカウントを簡単に作成できます。

Salesforceでユーザーを作成

ユーザープロビジョニングやサードパーティシステムでのユーザー作成は、Oktaのライフサイクル管理プロダクトにとって最も基本的なユースケースの1つです。Salesforceなどのシステムへのアクセスを提供するには、適切なプロフィール属性と権限を持ったアカウントをそのシステムで新規作成ユーザーのために用意する必要があります。このフローは、Salesforceでユーザーを作成し、部署に応じてユーザーにプロフィールを割り当てるのに役立ちます。

Jamf ProとOktaを利用してカスタマイズされた条件付きアクセス

ユーザーのAppleデバイスコンプライアンスに基づいて、Oktaユーザーに完全にカスタマイズ可能な条件付きアクセスフローをセットアップします。

多要素認証消耗攻撃を検出し、それに対応

多要素認証（MFA）消耗攻撃は、攻撃者がユーザーの認証アプリにプッシュ通知を大量に送信するために使用する方法です。ユーザーがプッシュ通知を受け入れると、攻撃者はアカウントまたはデバイスに侵入できるようになります。これらのテンプレートは、Okta orgに対するアクティブな攻撃を検出して対応する手段を提供します。

不審なMFAプッシュ通知を検出

このテンプレートは、Okta Verifyによるプッシュ通知の送信時にワークフローをトリガーするイベントフックを使用します。

このフローは、サインインリクエスト（ソース）と成功したOkta VerifyPush（宛先）の両方の位置情報（都市、都道府県、国）をチェックします。都市が異なる場合、フローはセキュリティチームによる調査用に情報収集を継続します。

このフローは、ビジネスニーズに基づいてその他のダウンストリームアプリケーションに通知するように簡単に修正できます。

Encourage stronger MFA adoption（より強力なMFAの導入の勧め）

このテンプレートは、SMSの要素としての登録と使用を監視することで、Oktaエンドユーザーがより強力な要素をアカウントに登録することを奨励します。

Okta WorkflowsによるオンプレミスPowerShellの実行

Oktaでは、Okta WorkflowsとAzure Automationの組み合わせによりPowerShellオンプレミスを実行できます。Azure Automationはクラウドベースの自動化サービスで、Azure、オンプレミスのAzure以外、ハイブリッドの環境の全体にわたって自動化をサポートします。

このガイドでは、IT管理者向けに、Oktaからのユーザーのライフサイクル管理にPowerShellの実行を組み入れるため、何が必要かについて解説します。

Form Submission to Okta Workflows API Endpoint（Workflows APIエンドポイントへのフォームの送信）

さまざまなクラウドプラットフォームサービスでは、IT管理者や開発者が、URLエンドポイントにPOST操作を送信できるフォームを構成できます。Workflows APIエンドポイントへの操作により送信されるデータは、従業員のオンボーディングやオフボーディング、Oktaグループへのユーザーの追加と削除、または構成済みWorkflows Connectorを使用するために使用できます。このテンプレートは、Postman、Google Forms、Microsoft Formsを使用してこれらのタスクを行う方法を示したものです。

一意のメールアドレスを生成

Organizationにユーザーを迎え入れるために、IT担当者はOffice 365やG Suiteなど、ダウンストリームアプリケーションでエンドユーザーに一意のメールアドレスを生成する必要があります。このフローでは、Oktaに登録されるすべてのユーザーに対して一意のメールアドレスが生成されます。

ユーザーインポートインラインフックを使用した一意のユーザー名の生成

IT管理者は、組織内で新入社員を追加するために一意のOktaユーザー名を持っている必要があります。このテンプレートは、インラインフックとWorkflowsを使用して、インポートされたユーザーがOkta Universal Directory内に存在するかどうかを確認します。ユーザーが存在する場合、テンプレートはユーザー名をインクリメントして一意にします。例：jessiedoe1@example.com。

ServiceNowによるプロビジョニングの承認

ServiceNowを使用している多くのOrganizationでは、元々持っているアクセス権より下位のアクセス権を取得するのに承認が必要です。作成時にデフォルトのアクセスが付いた状態でプロビジョニングされたユーザーがいるものの、プロビジョニング前に承認が必要な特定のグループアクセスがある場合があります。このフローは、ServiceNowを使ってこのようなユースケースで承認を得るのに役立ちます。

メール要素チャレンジによる顧客検証の強化

カスタマーアイデンティティー認証の強化は、セキュリティを改良し不正行為を防止するため不可欠です。顧客がオンラインとオフラインのどちらかにかかわらず、オンラインでのショッピング、レストランでのテイクアウト食品の受け取りなどあらゆる行為についてID認証を組み入れる必要があります。カスタマーアイデンティティー認証を強化すると、2つの興味深い課題が生じます。1つ目は、信頼性に優れた時間ベースのワンタイムパスワード（TOTP）を含めるための、従来の静的パスワードベース認証を超えた顧客の本人確認です。次に、セキュリティを損なうことなく、摩擦のないエクスペリエンスを提供し続けることです。

Identify inactive Okta users（非アクティブなOktaユーザーの識別）

Oktaテナントに休眠中のアカウントがあるかどうかは、手動のデプロビジョニングでは見過ごされがちですが、特定の基準を使用して非アクティブのユーザーを判定できます。このタスクでは、非アクティブのユーザーを判定してから、高価なアプリケーションライセンスを、たとえば他のユーザーのため使用できます。このテンプレートは、Oktaテナントの中で、最後のログイン日付が特定の日より前であったすべてのユーザーを探し、それらのユーザーについての情報をWorkflowsのテーブルに更新します。このテーブルのデータはダウンロード用にCSVファイルにエクスポートするか、メールの添付ファイルとして定期的にレポートできます。このテンプレートをさらに拡張し、非アクティブのユーザーの資格を停止することもできます。

Googleスプレットシートからユーザーをインポート

連携されていないユーザー層（契約社員や特定のオフィスなど）をOktaにインポートする必要がある場合、CSVかフラットファイルを使えば最も簡単にこれらのユーザーをOktaに作成できます。このフローは、Googleスプレッドシートからユーザーをインポートする方法、For Eachループの使い方に関するガイドとなるものです。このフローは、指定したGoogleスプレットシートからすべてのユーザーを参照、毎週月曜日の午前6時（米国西海岸標準時）にOktaでそれらのユーザーを作成します。

APIエンドポイントを使ったフローの開始

Okta Workflowsはカスタムビジネスロジックを実装するための強力なツールです。REST APIを使ってOktaに直接オブジェクト（ユーザーやアプリケーション、グループなど）を作成する代わりに、JSONペイロードとともにオブジェクトリクエストをWorkflowsに送信できます。次に、カスタムビジネスロジックを実装して、Oktaの既存のオブジェクトをチェックするか、サードパーティに連絡してデータを検証できます。動的ロジックの結果に基づいて、Workflowsはアクションに対する決定を下し、柔軟な処理オプションを提供できます。

カスタムAPIアクションの紹介

アクションが不足しているためにコネクターがニーズに合わないことがあります。カスタムAPIアクションを使うと、Workflowsで利用できる任意のコネクターに汎用HTTPリクエストを行って、この制限を回避できます。このフローでは、Oktaユーザープロファイルの一部としてカスタムロール属性を使用します。サポートロール属性が付いたユーザーが作成された場合、そのユーザーはOktaのHELP_DESK_ADMINロールに追加されます。

リストとヘルパーフローについて

ユーザーオブジェクトやアプリケーションオブジェクトなど、大量のデータがリスト形式で存在します。Workflowsでは、ヘルパーフローを使用してリストの各メンバーを操作するという包括的な方法でリストを処理できます。リストはさまざまな方法で処理されます。各アイテムについてアクションを個別に実行し、親フローに何も返さないことも珍しくありません。また、アイテムごとの繰り返し実行による累積的な出力を保持し、親フローに返すこともできます。他にも多くのリスト操作があります。「親フローとその他のフロータイプ」を参照してください。

ヘルパーフローは、独立したフローとして存在するサブルーチンに過ぎませんが、メインまたは親フローからしか呼び出せません。ヘルパーフローは、リストの処理だけでなく、コードの再利用、チームの貢献の評価、コードのクリーンアップにも役立ちます。

Invalidate anomalous Slack sessions（異常なSlackセッションの無効化）

このワークフローは、セッションのハイジャックに関連する異常をSlackが検出した場合にセキュリティオペレーションチームがSlackセッションを無効化し、管理者に連絡するように設計されています。

ワークフローは、異常なイベントについてSlack Risk Audit APIを定期的にチェックし、セキュリティ関連の特定の関心イベントについて結果をフィルタリングします。ワークフローは、異常なイベントに関連する任意のSlackセッションを無効化します。

また、これらのイベントについて組織のセキュリティオペレーションチームまたはSlack管理者に通知するようにも構成されています。通知を受けた管理側は、ユーザーがアカウント乗っ取りの被害を受けているかどうかを調査できます。

OktaとJamf Proを利用した、ユーザーオフボーディング時のAppleデバイスのロック

リモートワーカーを管理するIT管理者は、リモートユーザーが非アクティブ化されると、実際の課題に直面する可能性があります。IT部門は、会社に関連するすべてのデバイスが使用できないようにする必要があります。このフローは、Jamf Proで特定のユーザーに割り当てられたすべてのAppleデバイスを、そのユーザーがOktaで非アクティブ化された時点でリモートにロックする自動的な方法を提供します。

G Suiteへの未加工HTTPリクエストの作成

現行のGoogle Workspaceコネクターは、Google Workspace API内ですべてのエンドポイントへのアクセスを提供しません。カスタムAPIアクションカードも、Directory APIエンドポイントとLicensing APIエンドポイントに制限されています。このテンプレートを使用すると未加工のHTTPリクエストを作成し、必要なスコープを取得できます。

HTTPリクエストカードを使ったAPIリクエスト

Webサービスと連携している多くのOrganizationでは、セキュアなHTTPSエンドポイントを使用して、APIゲートウェイで保護されたSaaSアプリケーションまたはオンプレミスAPIを呼び出せるようにする必要があります。このフローは、GET操作とPOST操作用のOkta Workflows HTTP未加工リクエストカードの使い方を、いくつかのサンプルコンテンツで示したものです。また、さまざまなWorkflowsカードを使ってJSONを処理する方法についても示されています。

Secure Code Warriorの評価ステータスに基づいてGitHubへのアクセスを管理する

ユーザーが必須のSecure Code Warrior評価に合格している場合に、GitHubレポジトリへのアクセスを追加します。ユーザーがGitHubアプリケーションにアサインされたときにトリガーされます。

AWS SSOエンタイトルメントを管理

AWS SSOコネクターでは、OktaおよびAmazon Web Service （AWS）のユーザーとグループのエンタイトルメント（アカウントと権限のセット）を追加したり削除したりできます。このコネクターは、OINカタログで利用可能なAWS SSO SCIMプロビジョニングアプリと連携して動作します。OktaユーザーがOktaグループに追加、または削除されると、このテンプレートのフローがトリガーされます。Oktaグループがエンタイトルメントを保持し、それと連動する形でユーザーがAWSで更新されます。ヘルパーフローとテーブルを使ってエンタイトルメントの追加と削除を行う方法について、2つの例を示します。

G Suiteユーザーライセンスの管理

このテンプレートは、G Suiteのユーザーを無効化し、指定した期間が経過した後で、そのユーザーに割り当てられているG Suiteライセンスを削除するものです。このフローには、ユーザーを再アクティブ化し、以前に削除されたG Suiteライセンスを再割り当てする部分もあります。

プロフィール属性に基づいてOktaグループメンバーシップを管理

多くのOrganizationでは、ジョブコードに基づいて、またはより一般的にはロールベースのアクセス制御（RBAC）を実装するユーザープロファイル属性によって、一連のOktaグループメンバーシップが決定されています。このフローは、ユーザープロファイル属性に基づくグループの割り当てを示したものです。

Opsgenieでオンコールローテーションとスケジュールを管理する

このテンプレートは、オンコールローテーションとスケジューリングに関連して、Opsgenieで頻繁に使用されるさまざまなタスクを自動化するのに役立ちます。

Monitor unsuccessful phishing attempts（失敗したフィッシング試行のモニタリング）

このテンプレートは、フィッシング試行の失敗時にワークフローをトリガーするイベントフックを使用します。フローは、さらなる調査のためにフィッシングサイトのIPアドレスと影響を受けるユーザーをSlackチャンネルに送信します。

新規ユーザーの登録

カスタマーアイデンティティーとアクセス管理のユースケースでは、多くの事業部、ロケール、ブランドで個別のユーザー管理業務が必要になる場合があります。このテンプレートは、登録コンテキストのカスタム処理の実装方法を示したものです。

Notify a user when their profile is updated（プロファイル更新時にユーザーに通知）

人事がスケジュールを設定した変更やユーザー自身による個人情報の変更、何らかの形の自動変更など、ユーザープロファイルはさまざまな理由によって更新されることがあります。しかし、ユーザープロファイルのデータが正確で、ユーザーや権限のある管理者によって悪意のない形で更新されたことを常に把握する方法はあるのでしょうか。このフローでは、メッセージ（メールまたはSlack経由など）を送信してユーザーにプロファイルの更新を知らせることができます。その後、変更をレビューして確定できます。

Office 365 Adminでのオンボードとオフボード

このフローでは、Office 365管理者のユーザーを無効化し、指定した期間が経過した後でそのユーザーに割り当てられているOffice 365ライセンスを削除できます。また、Office 365管理者のユーザーを再度有効にし、以前削除したOffice 365管理者ライセンスを再度割り当てることもできます。

Password change notification using SendGrid（SendGridによるパスワード変更の通知）

エンドユーザーのセキュリティは、すべてCIAM顧客にとって大きな懸念です。エンドユーザーに対し、パスワードが変更されたときに通知し、それによって知らないうちにパスワードが変更された場合に警告することができれば、アカウント乗っ取りの危険を軽減できます。この通知は、複数のアプリケーションブランドにわたってブランディングすることが重要です。Workflowsはパスワード変更イベントに対応し、エンドユーザーにカスタマイズされた通知を送信します。フローを開始するトリガーイベントは、OktaでのUser Password Changedイベントです。これは、ユーザーがセルフサービスのパスワード変更を開始した、またはパスワードが管理アクションによって設定された場合に発生します。カスタマイズされたHTMLメールテンプレートがユーザーとイベントのコンテキストを動的に代替します。

ChromeOSデバイスのパスワードの同期

Google ChromeOSは、レガシー・オペレーティング・システムより多くのメリットを持つ、急成長中のプラットフォームです。ChromeOSとOktaを利用することで、Oktaの資格情報を使ってデバイスを承認し、その資格情報をOkta Workflowsと同期させることができます。

AWS DynamoDBとLambdaを利用したOktaプロファイル属性の入力

このフローは、外部テーブルから取得された関連値を使ってユーザーのプロファイルを強化する方法を示します。Amazon Web Service（AWS）DynamoDBテーブルと、AWS Lambda関数によって処理されるデータの取得を使用します。このフローは、該当するLambda関数を呼び出すAWS Lambdaコネクターを利用します。このユースケースは、ユーザーが入力した郵便番号に基づいており、郵便番号を利用して市、州、タイムゾーンなどの関連値を取得します。

ユーザーをアクティブ化する前に、SMSの多要素認証に事前登録する

ユーザーをアクティブ化すると、通常はユーザーが最初にサインインするときMFA要素を選択して登録できます。サインイン時にユーザーのIDを検証することで、セキュリティ体制を改善します。ユーザーは、Active Directoryまたは人事システムからプロファイルの電話番号を使用して、SMS要素に登録できます。このフローは、このプロセスを自動化するもので、ユーザーがアクティブ化の通知を受信することを承認されており、自社のリソースにアクセス可能なことを確認します。

WorkflowsへのWebhookの送信によるOktaユーザーの隔離

不正アカウントに対するアクションの実行は、どのようなOrganizationのセキュリティ体制の増強にも役立ちます。Splunkのような外部システムは、不正アカウントであることを示す可能性がある特定のパターンを求めて常にデータを分析しています。アカウントを特定できれば、Organizationはそのアカウントを隔離し、重要アプリケーションへのそれ以上のアクセスを防止できます。

Webhookとして公開されると、外部システムはこのフローを呼び出して、ユーザーを検疫グループに追加することにより、インシデント対応の取り組みを支援できます。この検疫グループは、アクセスを拒否する個々のアプリケーションサインオンポリシーに関連付けられています。フローの最後で、Oktaはユーザーセッションをクリアし、ユーザーに再認証を強制します。ユーザーのアクセス先は、隔離されたイベントと関連付けられていないアプリケーションのみに制限されるようになります。

このフローを拡張すれば、SlackやMicrosoft Teamsなどのコラボレーションツールへのメールやメッセージによってエンドユーザー、マネージャー、管理者に通知することができます。

Boxによるデプロビジョニング時のファイル再割り当て

このテンプレートは、ユーザー用のBoxアカウントを作成し、フォルダを作成して、ユーザーのマネージャーにメールで通知を送信します。また、このフローはユーザーが特定のOktaグループから削除されると、ユーザーのBoxファイルとフォルダをマネージャーに転送します。

Googleドライブでのファイルの再割り当てとデプロビジョニング

Googleドライブを使用している多くのOrganizationでは、元のユーザーが退社した時など、ユーザーのGoogleドライブにあるコンテンツを別のユーザーに転送するメカニズムを必要としています。このフローでは、ユーザーのGoogleドライブから上司にファイルを転送し、ユーザーを削除できます。

オンプレミスのLDAP Mulesoftを参照

このテンプレートは、LDAPリポジトリーを参照して、Okta Workflows全体を検索する方法を示したサンプルです。このテンプレートは変更して、SQLデータベースなどあらゆる種類のリポジトリに適用できます。この例では、Mulesoft Anypointプラットフォームを活用して、Okta Workflowsが利用するAPIエンドポイントをホストしています。

リモート同期

レガシーシステムが廃止されるまでメンテナンスが必要な、複数のユーザーストアを多くのCIAM顧客が保有しています。Oktaで取得したID情報が変更されたら、それらの属性をダウンストリームに同期する必要があります。このテンプレートでは、実装が簡単で、自由にカスタマイズできる方法を使ってCRUD（作成・更新・削除）操作でリモートシステムを更新できます。

セキュリティイベントに基づいてすべてのKandjiデバイスをリモートでロックする

IT管理者は、従業員が離職したときに会社に関連するすべてのデバイスにアクセスできないようにしたいと考えています。このテンプレートは、ユーザーがアカウントで停止、非アクティブ化、または疑わしいアクティビティを報告した場合に、Kandjiで特定のユーザーに割り当てられたすべてのKandjiデバイスをリモートでロックするための自動化された方法を提供します。

疑わしいアクティビティをレポート

エンドユーザーはこのテンプレートを使用して、アカウントのアクティビティー・メールの通知から、認識されていないアクティビティーを報告できます。エンドユーザーがセキュリティのメール通知を受信した場合、［Report Suspicious Activity（疑わしいアクティビティをレポート）］をクリックして報告を送信できます。アクティビティーがレビューされると、報告が確認され、完了されます。

Okta、 Zoom、Google Workspace、Office 365でユーザーセッションをリセットする

ユーザーのIdPとアプリケーション セッションのタイムリーな取り消しは、セキュリティ関連のイベントに対応する上で重要な部分です。このテンプレートは、Okta、Zoom、Google Workspace、Office 365 でユーザー セッションを取り消す方法の例を示しています。テンプレートは、ヘルパーフローとしてトリガーされる単一のフローを使用します。このヘルパーフローは、次のようなイベントで役立ちます。

• Oktaユーザーが停止された

• Oktaユーザーが疑わしいアクティビティを報告した

• Okta管理者がユーザーのパスワードのリセットを実行した

• Okta管理者が委任された風呂をトリガーした

特定のAppleモバイルデバイスを週次ベースで再起動する

iPadなどのAppleモバイルデバイスは、会議室のコントロールパネル、顧客向けのデモユニット、自動キャッシュマシンなど、いくつかのシナリオで共有デバイスとして使用できます。これらのiPadは、保留中のアップデートをインストールするために時々再起動する必要がありますが、Jamf Proではそのようなアクションを長期的にスケジュールする組み込みメソッドが提供されていません。

Send a welcome email to new user of an application（アプリケーションの新規ユーザーにウェルカムメールを送信）

ウェルカムメールは、Organizationが新しい顧客や従業員に送る最初のあいさつです。「ようこそ」メールには特別なプロモーションコードや、ユーザーエクスペリエンスを拡張する情報も記載できますが、単なる歓迎の言葉だけでもかまいせん。このテンプレートは、新規ユーザーにウェルカムメールを自動的に送信する方法を示したものです。

上司にActive Directoryの資格情報を送信

多くのOrganizationがユーザーの資格情報を管理するためにActive Directory（別名AActive Directory 代理認証）を使用しています。OktaとActive Directoryの統合はユーザープロビジョニングを可能にしていますが、Organizationはユーザーにアカウント資格情報を伝えるソリューションを必要としています。新入社員のオンボード時、企業では新入社員のアカウントをあらかじめ設定しておく必要がある場合があります。しかし、この新入社員は入社日までシステムやメールを利用ないかもしれません。このようなシナリオでは、企業が新入社員の上司にワンタイムパスワード付きのアカウント資格情報をメールで送信できます。このフローは、「アプリケーションへのユーザーの割り当て」イベントを使った、Active Directoryに追加されたユーザーの特定、これらのユーザーの上司のメールアドレスの取得、通知の送信の方法を示したものです。

Office 365を使ってメール通知を送信

このフローでは、ユーザーがOktaで停止された時にOffice 365を使ってメール通知を送信します。管理者はユーザーの停止を簡単に追跡できます。こちらは汎用的な通知テンプレートとなっています。通知のユースケースに合わせて、イベントとメールプロバイダー(Gmailへの切り替え)の両方を簡単に切り替えることができます。

添付ファイル付きのメールの送信

このテンプレートは、Gmailを使用して、Googleドライブからの添付ファイル付きメールを送信する方法を示したものです。

Twilio経由でSMSを送信する

このフローではTwilioからSMSメッセージを送信できます。

アクティブでないユーザーを停止

多くのOrganizationでは、特定のユーザーが必要とするよりもずっと長い期間にわたってアクセスが付与されているままになっている傾向があります。1つのアプリにしかアクセスする必要がない契約社員がいる組織もあれば、退職した社員に対して十分な退職ポリシーが適用されていない組織もあります。たとえば、数か月にわたってログインしていないユーザーがいる場合、実際にアクセスする必要があることがわかるまでそのユーザーを停止したいことがあります。強力なセキュリティ体制を実現するためにこのようなポリシーを導入します。このフローは環境内のすべてのアクティブユーザーを参照、過去6か月 (180日) 以内にログインしていないユーザーがいればそのユーザーを停止します。

Suspicious activity event alerts PagerDuty（疑わしいアクティビティーイベントのPagerDuty警告）

Oktaでは、ユーザーが疑わしいものと認識していないアクティビティーをOrganizationの管理者に報告できます。報告された疑わしいアクティビティをただちに調査することは、不正行為の予防と阻止に不可欠です。疑わしいアクティビティが報告されたとき、PagerDutyにインシデントを自動的に作成して、社内チームがさらに調査できるようにするには、どのようにすればいいでしょうか。このテンプレートは、疑わしいアクティビティが報告されたとき、PagerDutyにインシデントを自動的に作成する例を示したものです。

Microsoft アラートをサブスクライブし、潜在的なセキュリティ問題を管理者に通知します

Microsoftアラートサブスクリプションを使用することで、APIエンドポイント、メール、コラボレーションスペース、クラウドアプリ、ユーザーIDにわたるセキュリティサーフェスを管理できます。

OktaグループメンバーシップとOffice 365のUnifiedグループを同期します。

このテンプレートは、カスタムプロファイル属性とOkta Workflowsを使ってOktaグループメンバーシップとOffice 365のUnifiedグループを同期します。Office 365のUnifiedグループがないときは、含まれているワークフローを使って新たに作成し、Oktaグループを使ってグループメンバーシップを管理できます。

Temporarily exempt users from MFA（ユーザーに対してMFAを一時的に免除）

従業員が携帯電話を紛失して交換することは珍しくありません。セカンダリ認証情報をリセットできるようユーザーに一時的なアクセスを許可するため、ユーザーが確実性の高いサインオンポリシーに準拠するデバイスを入手するまでの間、厳格性の低い認証ポリシーを適用できます。このテンプレートは、定義された時間だけ、Oktaユーザーに対してMFAポリシーを免除します。

Oktaでのアカウント乗っ取りの可能性の追跡とアラート

詐欺の主な経路は、パスワードのリセットまたは特権アカウントへのアクセスレベルの変更によって行われるアカウントの乗っ取りです。自動化されたフローでこれら2つのベクトルを動的に監視して対応することで、これらのコストのかかる攻撃のリスクが大幅に軽減されます。このテンプレートは、Okta Workflowsが応答を自動化して、アカウントの乗っ取り（ATO）の試みに対抗し、セルフサービスとヘルプデスクベースのアカウント回復でリスクを軽減する方法を示しています。テンプレートは、ユーザーのパスワードとMFA要素のリセットおよびアクティブ化イベントを監視して、ユーザーのアカウントがATOの脅威にさらされているかどうかを判断します。

すべてのMFA係数のリセット時に自動通知をトリガーする

全MFA係数のリセットは、不正アクター、人的エラー、IT管理者による顧客の支援によってトリガーされる場合があります。セキュリティ向上とリスク削減には、内部チームが次の手順を特定できるようなタイムリーな通知が重要です。このテンプレートは、ユーザーのすべてのMFA係数がリセットされた際に自動的に内部チームに通知する方法を示します。

Use Okta Workflows for Pendo metadata sync（Okta Workflowsを使ったPendoメタデータの同期）

このワークフローは、ユーザーのプロファイルデータをOktaからPendo Adoptにプッシュします。Oktaで情報が変更された場合にOkta WorkflowsはPendo内のユーザーデータを自動的に更新できるため、PendoはOktaのお客様にこのアプローチを推奨しています。「Okta Workflowsを使ったPendoメタデータの同期」を参照してください。

Validate and substitute special characters（特殊文字の検証と置き換え）

samAccountNameなどユーザーの名前、またはメールアドレスを使用して、技術的なフィールドを生成する場合、データフィールドのデータに無効な文字が含まれていることがよくあります（メールアドレス内のスペースなど）。このテンプレートは、最も一般的な特殊文字のいくつかを識別し、置き換えを行います。その後で、検証または修正後の名前をOktaのユーザープロファイル属性に配置します。これにより、元の名前は表示用に保持され、技術的な目的には更新された名前が使用されます。

登録中にメールドメインを検証する

Oktaインラインフックを使用すると、Oktaプロセスフロー内の特定のポイントでカスタムプロセスをトリガーできます。

このテンプレートのフローは、ユーザーのセルフ登録プロセス中にインラインフックによって呼び出されます。Workflowsを使用して、メールドメインの検証を強制適用します。ユーザーのメールドメインがWorkflowsテーブルの許可リストにない場合、登録は拒否され、情報付きのエラーが表示されます。