利用可能なWorkflowsテンプレート

期間限定でOktaユーザーグループにメンバーシップを付与します。たとえば、アプリケーションに対する監査アクセスをあるグループに付与して、それが30日後に失効するようにできます。また、開発者アクセスを割り当てたい期間限定の開発プロジェクトなども例として挙げられます。

Okta orgへの管理者アクセスを定期的に監査すると、ユーザーが適切な管理者ロールを持っていることを確認するのに役立ちます。監査は、アクティビティに基づいて、管理者アクセスが不要になった可能性のあるユーザーを特定するのにも役立ちます。このテンプレートはすべての管理者ユーザー（Okta Admin Consoleに割り当てられているユーザー）を識別し、割り当てられている管理者ロールや、Okta Admin consoleへの最終ログインなどの情報をテーブルに更新します。

このテンプレートには、 OktaユーザーをLiteユーザーとして自動的に分類、管理するように設計されたフローが含まれています。

放棄されたアカウントは、強力なパスワードと多要素認証を使用している可能性は低いと考えられます。このテンプレートは、Okta Workflowsを使用してこのような放棄されたアカウントを削除することで、アプリケーションの全体的なセキュリティを強化する方法を示しています。このテンプレートを使用すると、非アクティブなユーザーにアカウントの期限切れについて自動的に警告し、そのアカウントが非アクティブのままであればAuth0からユーザーを削除することができます。

1つの目的のために複数のイベントを利用する必要がある場合があります。各フローのコピーを作成してそれらを個別にメンテナンスする代わりに、ヘルパーフローとテーブルを活用してフローの繰り返しを抑えることができます。このテンプレートは、User Created（ユーザーの作成）、User Okta Profile（ユーザーのOktaプロファイルの更新）、User Deactivated（ユーザーの非アクティブ化）という3つのOktaイベントからユーザー属性の日次レポートを作成するためのシンプルなパターンを示したものです。テンプレートは、毎日午前0時に実行されるスケジュールされたフローによって、Googleドライブに日時レポートをアップロードします。

多要素認証（MFA）消耗攻撃は、攻撃者がユーザーの認証アプリにプッシュ通知を大量に送信するために使用する方法です。ユーザーがプッシュ通知を受け入れると、攻撃者はアカウントまたはデバイスに侵入できるようになります。これらのテンプレートは、Okta orgに対するアクティブな攻撃を検出して対応する手段を提供します。

このテンプレートは、Okta Verifyによるプッシュ通知の送信時にフローをトリガーするイベントフックを使用します。

このフローは、サインインリクエスト（ソース）と成功したOkta VerifyPush（宛先）の両方の位置情報（都市、都道府県、国）をチェックします。都市が異なる場合、フローはセキュリティチームによる調査用に情報収集を継続します。

このフローは、ビジネスニーズに基づいてその他のダウンストリームアプリケーションに通知するように簡単に修正できます。

このテンプレートは、SMSの要素としての登録と使用を監視することで、Oktaエンドユーザーがより強力な要素をアカウントに登録することを奨励します。

組織によっては、アクセス認定中に決定の取り消しが許可されることがあります。一部のキャンペーンでは、エンドユーザーが、アクセスが取り消されるまでの期間、リソースへのアクセスを保持する猶予期間が設けられます。このテンプレートは、このようなキャンペーン構成を可能にし、決定の取り消しの適用を将来の日付に持ち越します。日付は、猶予期間として付与される日数に従って決定されます。

さまざまなクラウドプラットフォームサービスでは、IT管理者や開発者が、URLエンドポイントにPOST操作を送信できるフォームを構成できます。Workflows APIエンドポイントに対する操作によって送信されるデータは、従業員のオンボーディングやオフボーディング、Oktaグループへのユーザーの追加と削除、または構成済みWorkflows Connectorを使用するために使用できます。このテンプレートは、Postman、Google Forms、Microsoft Formsを使用してこれらのタスクを行う方法を示します。

このテンプレートは、Okta org内で作成されたすべてのOkta Realmsに関する包括的なレポートを生成します。各レルムへのユーザー割り当てに関する詳細情報が含まれ、ユーザー配分とレルム構成の概要が明白に理解できます。

IT管理者は、組織内で新入社員を追加するために一意のOktaユーザー名を持っている必要があります。このテンプレートは、インラインフックとWorkflowsを使用して、インポートされたユーザーがOkta Universal Directory内に存在するかどうかを確認します。ユーザーが存在する場合、テンプレートはユーザー名をインクリメントして一意にします。例：jessiedoe1@example.com。

このテンプレートは、厳選された導入フローを提供します。これらは、新しいユーザーがフローデザイナーのインターフェースに慣れ、 Okta Workflowで何ができるかを知るのに役立ちます。たとえば、タスクのスケジュール設定、さまざまなアプリの接続、ID プロセスの自動化などです。

このソリューションは、サンプルアプリ内でOkta Privileged Access（OPA）オブジェクトをOkta Identity Governance（OIG）のエンタイトルメントとして表現します。OPAポリシーの内容をエンタイトルメントバンドルとして表示するため、OIGアクセスリクエストでリクエストできます。また、ユーザーとOPAポリシーのマッピングをエンタイトルメントバンドルの付与として表示するため、アクセスをレビューできます。

カスタマーアイデンティティ認証の強化は、セキュリティを改良し不正行為を防止するため不可欠であると同時に、2つの興味深い課題を生み出しています。1つ目は、信頼性に優れた時間ベースのワンタイムパスワード（TOTP）を含めるために、従来の静的パスワードベース認証以外で顧客のアイデンティティを確認することです。次に、セキュリティを損なうことなく、摩擦のないエクスペリエンスを提供し続けることです。

このテンプレートは、特定の基準を使って非アクティブユーザーを識別し、手動のプロビジョニング解除プロセスで見逃された古いアカウントがOktaテナントに存在するかどうかを判断します。たとえば、古いアカウントを削除することで、高価なアプリケーションライセンスを別のユーザー向けに解放できます。

このテンプレートは、Oktaテナントの中で最後のサインインタイムスタンプが特定の日付より前のすべてのユーザーを検索し、それらのユーザーに関する情報をWorkflowsテーブルに書き込みます。テーブル内のデータをダウンロード可能なCSVファイルにエクスポートするか、定期レポート用に添付ファイルとしてメールで送信することができます。このテンプレートを拡張して非アクティブユーザーを一時停止することもできます。

Okta内で管理されるSaaSアプリケーションの非アクティブなユーザーを識別することは、最小権限の原則を維持するための良い方法です。前のサインインデータに基づいて非アクティブなユーザーを検索することで、会社のポリシーで求められる改善措置を実行できます。この情報により、現在使用されておらず、キャンセルや再割り当てが可能な高価なアプリケーションライセンスも判明します。

このテンプレートは、一定期間サインインしていない、指定されたアプリケーションのユーザーを検索し、それらのユーザーをOktaグループに追加します。

このテンプレートは、Anything-as-a-Source（XaaS）統合を使用してWorkdayからレコードをインポートする方法を示します。

このフローは、ワーカーを検索するカードを使用してWorkdayレコードを要求し、結果のレコードリストを一時的なWorkflowsテーブルに保存します。次に、フローはインポート セッションを作成し、一括インポート要求を処理して、それらのレコードを処理します。インポートは、インポートするレコードの数と、XaaSドキュメントに記載されているパラメータに基づいて処理されます。

Okta Identity Governanceのエンタイトルメント管理機能は、Okta org内のユーザーのために、アプリのエンタイトルメントの作成、保管、管理を行えるようにします。エンタイトルメント管理を使用すると、org内のユーザーは確実に各リソースに適切な権限を持つことができます。

このテンプレートはバックアップの目的で、エンタイトルメントの複製をGoogleスプレッドシートのドキュメントに保管します。必要に応じてフローを実行するか、フローが定期的に実行されるように構成することができます。エンタイトルメントに対する変更の監視やトラブルシューティングを行う他にも、バックアップや特定イベントへの自動応答を行うことができます。

このテンプレートは、ログストリーミングとOkta Workflowsを実装し、Okta System Logから特定のイベントタイプをキャプチャすることに重点を置いています。ログストリーミングにより、Amazon EventBridgeやSplunk CloudなどのプラットフォームへのSystem Logイベントのほぼリアルタイムのエクスポートが可能になります。この機能を使用すると、不審なアクティビティを監視したり、特定のイベントへの対応を自動化したり、トラブルシューティングしたりできます。

Okta Workflowsはカスタムビジネスロジックを実装するための強力なツールです。REST APIを使ってOktaに直接オブジェクト（ユーザーやアプリケーション、グループなど）を作成する代わりに、JSONペイロードとともにオブジェクトリクエストをWorkflowsに送信できます。次に、カスタムビジネスロジックを実装して、Oktaの既存のオブジェクトをチェックするか、サードパーティに連絡してデータを検証できます。動的ロジックの結果に基づいて、Workflowsはアクションに対する決定を下し、柔軟な処理オプションを提供できます。

アクションが不足しているためにコネクターがニーズに合わないことがあります。Custom API Actionを使うと、Workflowsで利用できる任意のコネクターに汎用HTTPリクエストを行って、この制限を回避できます。このフローでは、Oktaユーザープロファイルの一部としてカスタムロール属性を使用します。サポートロール属性が付いたユーザーが作成された場合、そのユーザーはOktaのHELP_DESK_ADMINロールに追加されます。

ユーザーオブジェクトやアプリケーションオブジェクトなど、大量のデータがリスト形式で存在します。Okta Workflowsでは、ヘルパーフローを使用してリストの各メンバーを操作するという包括的な方法でリストを処理できます。リストはさまざまな方法で処理されます。各アイテムについてアクションを個別に実行し、親フローに何も返さないことも珍しくありません。また、アイテムごとの繰り返し実行による累積的な出力を保持し、親フローに返すこともできます。他にも多くのリスト操作があります。「親フローとその他のフロータイプ」を参照してください。

ヘルパーフローは、独立したフローとして存在するサブルーチンに過ぎませんが、メインまたは親フローからしか呼び出せません。ヘルパーフローは、リストの処理だけでなく、コードの再利用、チームの貢献の評価、コードのクリーンアップにも役立ちます。

このテンプレートは、Okta WorkflowsがAuth0の重複する顧客アカウントを自動的にリンクすることで、顧客IDの管理を効率化できることを示しています。このテンプレートは、Webサイトにサインインするすべての新規ユーザーのメールアドレスを既存のユーザーベースに照らして確認します。重複が見つかると、ユーザーの2つのAuth0を自動的にリンクします。

Webサービスと連携している多くの組織では、セキュアなHTTPSエンドポイントを使用して、APIゲートウェイで保護されたSaaSアプリケーションまたはオンプレミスAPIを呼び出す必要があります。このフローは、GET操作とPOST操作用のOkta Workflows HTTP未加工リクエストカードの使い方を、いくつかのサンプルコンテンツで示したものです。また、さまざまなWorkflowsカードを使ってJSONを処理する方法についても示されています。

多くの組織では、ジョブコードに基づいて、またはより一般的にはロールベースのアクセス制御（RBAC）を実装するユーザープロファイル属性によって、一連のOktaグループメンバーシップが決定されています。このフローは、ユーザープロファイル属性に基づくグループの割り当てを示したものです。

このテンプレートは、フィッシング試行の失敗時にフローをトリガーするイベントフックを使用します。フローは、さらなる調査のためにフィッシングサイトのIPアドレスと影響を受けるユーザーをSlackチャンネルに送信します。

カスタマーアイデンティティとアクセス管理（CIAM）のユースケースでは、多くの事業部、ロケール、ブランドで個別のユーザー管理業務が必要になる場合があります。このテンプレートは、登録コンテキストのカスタム処理の実装方法を示したものです。

人事がスケジューリングした変更やユーザー自身による個人情報の変更、その他の自動変更など、ユーザープロファイルはさまざまな理由で更新される可能性があります。ただし、ユーザープロファイルのデータが正確で、ユーザーや権限を持つ管理者によって悪意のない形で更新されたことを常に把握する方法はあるのでしょうか。このフローでは、メッセージ（メールまたはSlack経由など）を送信してユーザーにプロファイルの更新を知らせることができます。連絡を受けたユーザーは、変更をレビューして確定できます。

以下のフロー例は、Okta Identity Governanceアクセス認定キャンペーンの作成方法を示しています。キャンペーンは、エンタイトルメントの有無を問わず、アプリやグループなどの特定のリソース、または特定のユーザーのセットを対象にできます。

この例は、さまざまなレビュアータイプとOkta Expression Language（OEL）の使用方法も示しています。

ユーザーをアクティブ化すると、通常はユーザーが最初にサインインするときMFA要素を選択して登録できます。サインイン時にユーザーのIDを検証することで、セキュリティ体制を改善します。ユーザーは、Active Directoryまたは人事システムからプロファイルの電話番号を使用して、SMS要素に登録できます。このフローは、このプロセスを自動化するもので、ユーザーがアクティブ化の通知を受信することを承認されており、自社のリソースにアクセス可能なことを確認します。

不正アカウントに対するアクションの実行は、どのような組織のセキュリティ体制の増強にも役立ちます。Splunkのような外部システムは、不正アカウントであることを示す可能性がある特定のパターンを求めて常にデータを分析しています。アカウントを特定できれば、組織はそのアカウントを隔離し、重要アプリケーションへのそれ以上のアクセスを防止できます。

Webhookとして公開されると、外部システムはこのフローを呼び出して、ユーザーを検疫グループに追加することにより、インシデント対応の取り組みを支援できます。この検疫グループは、アクセスを拒否する個々のアプリケーションサインオンポリシーに関連付けられています。フローの最後で、Oktaはユーザーセッションをクリアし、ユーザーに再認証を強制します。ユーザーのアクセス先は、隔離されたイベントと関連付けられていないアプリケーションのみに制限されるようになりました。

このフローを拡張すれば、SlackやMicrosoft Teamsなどのコラボレーションツールへのメールやメッセージによってエンドユーザー、マネージャー、管理者に通知することができます。

このテンプレートは、LDAPリポジトリーを参照して、Okta Workflows全体を検索する方法を示したサンプルです。このテンプレートは変更して、SQLデータベースなどあらゆる種類のリポジトリに適用できます。この例では、Mulesoft Anypointプラットフォームを活用して、Okta Workflowsが利用するAPIエンドポイントをホストしています。

レガシーシステムが廃止されるまでメンテナンスが必要な、複数のユーザーストアを多くのCIAM顧客が保有しています。Oktaで取得したID情報が変更されたら、それらの属性をダウンストリームに同期する必要があります。このテンプレートでは、実装が簡単で、自由にカスタマイズできる方法を使ってCRUD（作成・更新・削除）操作でリモートシステムを更新できます。

エンドユーザーはこのテンプレートを使用して、アカウントのアクティビティに関するメール通知から、認識されないアクティビティをレポートできます。エンドユーザーがセキュリティのメール通知を受信した場合、［Report Suspicious Activity（疑わしいアクティビティをレポート）］をクリックしてレポートを送信できます。アクティビティがレビューされると、レポートが確認され、完了されます。

ユーザーのIdPとアプリケーション セッションのタイムリーな取り消しは、セキュリティ関連のイベントに対応する上で重要な部分です。このテンプレートは、Okta、Google Workspace、Office 365、Zoom でユーザー セッションを取り消す方法の例を示しています。テンプレートは、ヘルパーフローとしてトリガーされる単一のフローを使用します。このヘルパーフローは、次のようなイベントで役立ちます。

• Oktaユーザーが停止された

• Oktaユーザーが疑わしいアクティビティを報告した

• Okta管理者がユーザーのパスワードのリセットを実行した

• Okta管理者が委任されたフローをトリガーした

このテンプレートは、ユーザーの資格情報が侵害資格情報リストに掲載された場合にユーザーに通知するサンプルフローを提供します。Okta System Logには、これは侵害されたパスワードイベントとして記録されます。

このテンプレートは、イベントフックを使用してAPIエンドポイントをトリガーし、フローを開始します。次に、通知メッセージを作成し、GmailおよびSlackコネクターを介してユーザーに送信します。これらのコネクターは、通知方法を示す例としてのみ提供されています。このテンプレートは、特定のビジネスプロセスとアプリケーションに合わせてカスタマイズできます。

多くの組織では、ユーザーはアクセス権を必要以上に長く保持します。1つのアプリにしかアクセスする必要がない契約社員がいる組織もあれば、退職した社員に対して十分な退職ポリシーが適用されていない組織もあります。たとえば、数か月にわたってサインインしていないユーザーがいる場合、実際にアクセスする必要があることがわかるまでそのユーザーを停止できると便利なことがあります。強力なセキュリティ体制を実現するためにこのようなポリシーを導入します。このフローは環境内のすべてのアクティブユーザーを参照、過去6か月（180日）以内にサインインしていないユーザーがいればそのユーザーを停止します。

ビデオ：アクティブでないユーザーを停止

従業員が携帯電話を紛失して交換することは珍しくありません。セカンダリAuthenticator情報をリセットできるようユーザーに一時的なアクセスを許可できます。これを行うには、ユーザーが確実性の高いサインオンポリシーに準拠するデバイスを入手するまでの間、厳格性の低い認証ポリシーをユーザーに適用します。このテンプレートは、定義された時間だけ、Oktaユーザーに対してMFAポリシーを免除します。

ビデオ：ユーザーに対してMFAを一時的に免除

アカウント乗っ取りは、詐欺の重要なターゲットであり、不正行為者が特権アカウントのパスワードのリセットやアクセスレベルの変更を成し遂げたときに達成されます。自動化されたフローでこれら2つのベクトルを動的に監視して対応することで、これらのコストのかかる攻撃のリスクが大幅に軽減されます。このテンプレートは、Okta Workflowsが応答を自動化して、アカウントの乗っ取り（ATO）試行に対抗する方法を示しています。また、セルフサービスとヘルプデスクベースのアカウント回復でリスクを軽減する方法も示しています。テンプレートは、ユーザーのパスワードとMFA要素のリセットおよびアクティブ化イベントを監視して、ユーザーのアカウントがATOの脅威にさらされているかどうかを判断します。

全MFA係数のリセットは、不正アクター、人的エラー、IT管理者による顧客の支援など、さまざまな要因によって引き起こされます。セキュリティ向上とリスク削減には、内部チームが次の手順を特定できるようなタイムリーな通知が重要です。このテンプレートは、ユーザーのすべてのMFA係数がリセットされた際に自動的に内部チームに通知する方法を示します。

ユーザーの名前（samAccountNameなど）やメールアドレスを使って技術的なフィールドを生成する場合、特定のデータフィールドのデータに無効な文字が含まれることがよくあります。たとえば、メールアドレス内のスペースなどです。このテンプレートは、最も一般的な特殊文字のいくつかを識別し、置き換えを行います。その後で、検証または修正後の名前をOktaのユーザープロファイル属性に配置します。これにより、元の名前は表示用に保持され、技術的な目的には更新された名前が使用されます。

Oktaインラインフックを使用すると、Oktaプロセスフロー内の特定のポイントでカスタムプロセスをトリガーできます。

このテンプレートのフローは、ユーザーのセルフ登録プロセス中にインラインフックによって呼び出されます。Workflowsを使用して、メールドメインの検証を強制適用します。ユーザーのメールドメインがWorkflowsテーブルの許可リストにない場合、登録は拒否され、情報付きのエラーが表示されます。

ウェルカムメールは、組織が新しい顧客や従業員に送る最初のあいさつです。「ようこそ」メールには特別なプロモーションコードや、ユーザーエクスペリエンスを拡張する情報も記載できますが、単なる歓迎の言葉だけでもかまいせん。このテンプレートは、新規ユーザーにウェルカムメールを自動的に送信する方法を示したものです。

このテンプレートは、Gmailを使用して、Googleドライブからの添付ファイル付きメールを送信する方法を示したものです。

Googleドライブを使用している多くの組織では、元のユーザーが退社した時など、ユーザーのGoogleドライブにあるコンテンツを別のユーザーに転送するメカニズムを必要としています。このフローでは、ユーザーのGoogleドライブから上司にファイルを転送し、ユーザーを削除できます。

多くの組織が特定のライフサイクルイベントに関するレポートについてorg固有の特別なニーズを抱えており、組織の他のユーザーとデータを共有しています。Okta System Logは強力ですが、Oktaの管理者しか使えず、レポートのスケジュール設定をすることもできません。このフローは、オンラインスプレッドシートにカスタムレポートを構築(\"user suspended\"イベントを使用)し、イベント発生時にそのレポートを関係者と共有するためのものです。

連携されていないユーザー層（契約社員や特定のオフィスなど）をOktaにインポートする必要がある場合、CSVかフラットファイルを使えば最も簡単にこれらのユーザーをOktaに作成できます。このフローは、Googleスプレッドシートからユーザーをインポートする方法、For Eachループの使い方に関するガイドとなるものです。このフローは、指定したGoogleスプレットシートからすべてのユーザーを読み取り、毎週月曜日の午前6時（米国西海岸標準時）にそれらのユーザーをOktaに作成します。

組織にユーザーを迎え入れるために、IT担当者はOffice 365やGoogle Workspaceなど、ダウンストリームアプリケーションでエンドユーザーに一意のメールアドレスを生成する必要があります。このフローでは、Oktaに登録されるすべてのユーザーに対して一意のメールアドレスが生成されます。

現行のGoogle Workspaceコネクターは、Google Workspace API内ですべてのエンドポイントへのアクセスを提供しません。Custom API Actionカードも、Directory APIエンドポイントとLicensing APIエンドポイントに制限されています。このテンプレートを使用すると未加工のHTTPリクエストを作成し、必要なスコープを取得できます。

このテンプレートは、Google Workspaceのユーザーを無効化し、指定した期間が経過した後で、そのユーザーに割り当てられているGoogle Workspaceライセンスを削除するものです。このフローには、ユーザーを再アクティブ化し、以前に削除されたGoogle Workspaceライセンスを再割り当てする部分もあります。

このテンプレートは、ターゲットユーザーをオフボーディングするときにGoogle Workspaceでいくつかのタスクを実行する方法を示します。

• メールボックスの委任
• メールボックスのメール転送
• メールボックスの自動返信
• Oktaユーザーセッションの削除
• Google Workspaceライセンスの削除
• すべてのユーザーのGoogle Workspace ASPの削除
• Google Workspaceのすべてのユーザーデバイスの削除
• Google Workspaceのすべてのユーザーアクセストークンの削除
• Google Workspaceディレクトリユーザーの非アクティブ化
• Google Drive移行リクエストの作成
• Google Calendar移行リクエストの作成

Oktaでは、Okta WorkflowsとAzure Automationの組み合わせによりPowerShellオンプレミスを実行できます。Azure Automationはクラウドベースの自動化サービスで、Azure、オンプレミスのAzure以外、ハイブリッドの環境の全体にわたって自動化をサポートします。

このガイドでは、IT管理者向けに、Oktaからのユーザーのライフサイクル管理にPowerShellの実行を組み入れるため、何が必要かについて解説します。

Microsoftアラートサブスクリプションを使用することで、APIエンドポイント、メール、コラボレーションスペース、クラウドアプリ、ユーザーIDにわたるセキュリティサーフェスを管理できます。

このテンプレートは、Oktaユーザーのプロファイルに保存されている開始日/終了日に基づいてOkta WorkflowsがOktaユーザーアカウントを自動的にアクティブ化/非アクティブ化する方法を示します。その上でテンプレートはMicrosoft Teamsを使って通知を送信します。

複数のOffice 365テナントを使用する企業が増えてきています。M&A事業を行っている企業では特にこれが顕著です。このような場合、ユーザーは複数のテナントにアクセスする必要があります。多くの企業がMicrosoftのゲストアカウントを使うことでこの問題のライセンス面に対処しています。ただし、これらのユーザーの作成と管理を自動化するのは面倒な作業です。このフローを使えば、コードを使ったり、コードをホスティングする特別なインフラストラクチャを用意しなくても、ゲストアカウントを簡単に作成できます。

組織にユーザーを迎え入れるために、IT担当者はOffice 365やGoogle Workspaceなど、ダウンストリームアプリケーションでエンドユーザーに一意のメールアドレスを生成する必要があります。このフローでは、Oktaに登録されるすべてのユーザーに対して一意のメールアドレスが生成されます。

このフローでは、Office 365 Adminのユーザーを無効化し、指定した期間が経過した後でそのユーザーに割り当てられているOffice 365ライセンスを削除できます。また、Office 365 Adminのユーザーを再度有効にし、以前削除したOOffice 365 Adminライセンスを再度割り当てることもできます。

このテンプレートは、カスタムプロファイル属性とOkta Workflowsを使ってOktaグループメンバーシップとOffice 365のUnifiedグループを同期します。Office 365のUnifiedグループがないときは、含まれているフローを使って新たに作成し、Oktaグループを使ってグループメンバーシップを管理できます。

多くの組織では、フルタイム従業員に加えて契約社員も雇用しています。契約社員には通常、現在の契約が期限切れになる日付があります。このテンプレートは、この日付までに組織内の人々にプロアクティブに通知する方法を示しています。たとえば、従業員の契約を更新する可能性のある契約社員のマネージャーなどです。

多くの組織がユーザーの資格情報を管理するためにActive Directory（別名Active Directory委任認証）を使用しています。OktaとActive Directoryの統合はユーザープロビジョニングを可能にしますが、組織にはアカウント資格情報をユーザーに伝えるソリューションが必要です。新入社員のオンボード時、企業では新入社員のアカウントをあらかじめ設定しておく必要がある場合があります。しかし、この新入社員は入社日までシステムやメールを利用ないかもしれません。このようなシナリオでは、企業が新入社員の上司にワンタイムパスワード付きのアカウント資格情報をメールで送信できます。このフローは、「アプリケーションへのユーザーの割り当て」イベントを使用してActive Directoryに追加されたユーザーを特定する方法を示しています。その後、それらのユーザーの上司のメールアドレスが取得され、通知が送信されます。

多くの組織では、Adobe Signを使用して、ユーザーがアクセスできるリソースを規定する契約を管理しています。たとえば、機密保持契約（NDA）、リース契約、利用規約（TOS）などが一般的なリソースタイプです。このテンプレートはAdobe SignのWebhookを活用し、ユーザーがドキュメントに署名するタイミングをキャプチャします。Oktaはこの情報を使用して、ユーザーがアクセスできるシステムとそのセキュリティレベルを判定できます。

このフローは、外部テーブルから取得された関連値を使ってユーザーのプロファイルを強化する方法を示しています。このフローはシンプルなAmazon Web Service（AWS）DynamoDBテーブルを使用し、データの取得はAWS Lambda関数によって処理されます。このフローは、AWS Lambdaコネクターを使用して該当するLambda関数を呼び出します。このユースケースは、ユーザーが入力した郵便番号に基づいており、郵便番号を利用して市、州、タイムゾーンなどの関連値を取得します。

AWS SSOコネクターでは、OktaおよびAmazon Web Service （AWS）のユーザーとグループのエンタイトルメント（アカウントと権限のセット）を追加したり削除したりできます。このコネクターは、OINカタログで利用可能なAWS SSO SCIMプロビジョニングアプリと連携して動作します。OktaユーザーがOktaグループに追加、または削除されると、このテンプレートのフローがトリガーされます。Oktaグループがエンタイトルメントを保持し、それと連動する形でユーザーがAWSで更新されます。ヘルパーフローとテーブルを使ってエンタイトルメントの追加と削除を行う方法について、2つの例を示します。

このテンプレートは、ユーザー用のBoxアカウントを作成し、フォルダを作成して、ユーザーのマネージャーにメールで通知を送信します。また、このフローはユーザーが特定のOktaグループから削除されると、ユーザーのBoxファイルとフォルダーをマネージャーに転送します。

これらのフローは、Darwinbox内のメールIDの自動更新を含め、Okta Workflowsがユーザーの作成、更新、非アクティブ化プロセスを自動化する方法の概要を示します。

多くの組織では、DocuSignを使用して、ユーザーがアクセスできるリソースを規定する契約を管理しています。たとえば、機密保持契約（NDA）、リース契約、利用規約（TOS）などが一般的なリソースタイプです。このテンプレートは、DocuSign Webhookを使用して、ユーザーがドキュメントに署名するタイミングをキャプチャします。Oktaはこの情報を取得して、グループおよびアプリケーションアクセスの管理に使用される属性を入力します。

このテンプレートを利用することで、フローの作成者はフローをオンデマンドで、または自動ベースでGitHubやGoogle Driveなどの外部システムにバックアップできます。これを実現するために、フローまたはフォルダをエクスポートする機能を新たに開発し、GitHubコネクターを強化することで作成者がプルリクエストをコミットまたはオープンできるようにしました。環境に簡単にインポートでき、フローとフォルダの両方のバージョン管理を丁寧に案内するテンプレートセットも用意されています。

このテンプレートは、GoPhishによってキャプチャされたフィッシングイベントをリッスンします。たとえば、ユーザーがメールのフィッシングリンクを開いたとき、または情報や資格情報をフィッシングページに送信したときなどです。Oktaはこの情報を使用してサインイン手順を変更し、セキュリティイベントの発生時にユーザーの資格情報をリセットします。

ユーザーのAppleデバイスコンプライアンスに基づいて、Oktaユーザーに完全にカスタマイズ可能な条件付きアクセスフローをセットアップします。

リモートワーカーを管理するIT管理者は、リモートユーザーが非アクティブ化されると、実際の課題に直面する可能性があります。IT部門は、会社に関連するすべてのデバイスが使用できないようにする必要があります。このフローは、Jamf Proで特定のユーザーに割り当てられたすべてのAppleデバイスを、そのユーザーがOktaで非アクティブ化された時点でリモートにロックする自動的な方法を提供します。

Appleモバイルデバイスは、会議室のコントロールパネル、顧客向けのデモユニット、自動キャッシュマシンなどのシナリオで共有デバイスとして使用できます。これらのデバイスは、保留中のアップデートをインストールするために時々再起動する必要がありますが、Jamf Proではそのようなアクションを長期的にスケジュールする組み込みメソッドが提供されていません。

新規従業員のオンボーディングは、複数の内部チームからの情報や、異なる承認ツールやアカウント作成ツールの統合を必要とする複雑なプロセスです。さらに、ユーザーアカウントのアクティブ化前に、オリエンテーションの完了や認定の獲得を新規従業員に求める企業もあります。この複雑さは、承認を追跡し、特定の日に各ユーザーアカウントをアクティブ化するIT管理者の負担を増します。このプロセスを自動化することで、人的エラーを軽減し、セキュリティ体制を強化できます。このテンプレートは、承認済みのJiraサービスリクエストによってトリガーされる、Oktaの自動化されたアカウント作成とアクティブ化の例を提供します。

Jiraコネクター内でサポートされるアクションの多く（問題の作成やユーザーへの問題の割り当てなど）は、Atlassian IDを必要とします。このヘルパーフローを使用すると、必要なときにユーザーのAtlassian IDを見つけることができます。

IT管理者は、従業員が離職したときに会社に関連するすべてのデバイスにアクセスできないようにしたいと考えています。このテンプレートは、ユーザーがアカウントで停止、非アクティブ化、または疑わしいアクティビティを報告した場合に、Kandjiで特定のユーザーに割り当てられたすべてのKandjiデバイスをリモートでロックするための自動化された方法を提供します。

このテンプレートは、Okta WorkflowsとMarketoを組み合わせて使用して顧客の再エンゲージメントを促し、Webサイトへの訪問数を増やす方法を示しています。このテンプレートは、Marketoに最近サインインしていない顧客のリストを自動的に保持します。その後、Marketoを使用してこれらの顧客のエンゲージメントを促すキャンペーンをセットアップできます。

このテンプレートは、B2C企業がOkta Workflowsを使用してMarketoと顧客を同期する方法を示しています。このテンプレートを使用すると、自社のWebサイトにサインインした新規ユーザー全員がMarketoにプロファイルを持つようになります。これにより、エラーが発生しやすい手動のインポートプロセス回避するとともに、マーケティングキャンペーンを通じて即座に新規ユーザーに働きかけることで、エンゲージメントと顧客維持率を向上させることができます。

本人検証の場合、このフローはOktaコネクター用のユーザー作成イベントカードを使用してOnfido申請者を作成し、申請者IDをユーザーのOktaプロファイルに保存します。

タスクを自動化したり、クリエイティブコンテンツを生成したりする方法を学習するのに役立つ実用的なプロンプトの例を活用することで、人工知能の可能性を見出すことができます。このコネクターは、OpenAIの高度な機能をOkta Workflowsに直接もたらし、ビジネスプロセスでこれまでにないレベルの効率性と創造性を実現できるようにします。

このテンプレートは、オンコールローテーションとスケジューリングに関連して、Opsgenieで頻繁に使用されるさまざまなタスクを自動化するのに役立ちます。

Oktaでは、ユーザーが認識していないアクティビティを組織管理者に報告できます。そのような疑わしいアクティビティの報告をただちに調査することは、不正行為の予防に不可欠です。このテンプレートは、疑わしいアクティビティが報告されたとき、PagerDutyにインシデントを自動的に作成する例を示したものです。

このフローは、ユーザーのプロファイルデータをOktaからPendo Adoptにプッシュします。Oktaで情報が変更された場合にOkta WorkflowsはPendo内のユーザーデータを自動的に更新できるため、PendoはOktaのお客様にこのアプローチを推奨しています。「Okta Workflowsを使ったPendoメタデータの同期」を参照してください。

このテンプレートでは、XaaSモデルを実装してPersonioからレコードをインポートする方法を示します。このフローでは、Personioにレコードをリクエストし、取得したレコードリストを一時Workflowsテーブルに保存してから、インポートセッションを作成して一括インポートリクエストを処理します。

このテンプレートは、B2C企業がOkta Workflowsを使用して顧客をCRMソリューションに自動的に同期する方法を示しています。このテンプレートを使用すると、自社のWebサイトにサインインした新規ユーザー全員がSalesforceアカウント内の連絡先になります。

ユーザープロビジョニングやサードパーティシステムでのユーザー作成は、Oktaのライフサイクル管理プロダクトにとって最も基本的なユースケースの1つです。Salesforceなどのシステムへのアクセスを提供するには、適切なプロフィール属性と権限を持ったアカウントをそのシステムで新規作成ユーザーのために用意する必要があります。このフローは、Salesforceでユーザーを作成し、部署に応じてユーザーにプロフィールを割り当てるのに役立ちます。

このフローは、ユーザーが必須のSecure Code Warrior評価に合格している場合に、GitHubレポジトリへのアクセスを付与します。このフローは、ユーザーがGitHubアプリケーションにアサインされたときにトリガーされます。

エンドユーザーのセキュリティは、すべてCIAM顧客にとって大きな懸念です。エンドユーザーに対し、パスワードが変更されたときに通知し、それによって知らないうちにパスワードが変更された場合に警告することができれば、アカウント乗っ取りの危険を軽減できます。この通知は、複数のアプリケーションブランドにわたってブランディングすることが重要です。Workflowsはパスワード変更イベントに対応し、エンドユーザーにカスタマイズされた通知を送信します。フローを開始するトリガーイベントは、OktaでのUser Password Changedイベントです。これは、ユーザーがセルフサービスのパスワード変更を開始した、またはパスワードが管理アクションによって設定された場合に発生します。カスタマイズされたHTMLメールテンプレートは、ユーザーとイベントのコンテキストを動的に代替します。

このテンプレートは、Okta Workflowsを使用して高リスクの顧客サインインから保護する方法を示しています。高リスクサインインが発生すると、テンプレートは関連情報を含むServiceNowインシデントを自動的に作成します。これにより、セキュリティチームは迅速に対処し、サイトへのリスクを軽減することが可能になります。

ServiceNowを使用している多くの組織では、元々持っているアクセス権より下位のアクセス権を取得するのに承認が必要です。作成時にデフォルトのアクセスが付いた状態でプロビジョニングされたユーザーがいるものの、プロビジョニング前に承認が必要な特定のグループアクセスがある場合があります。このフローは、ServiceNowを使ってこのようなユースケースで承認を得るのに役立ちます。

このフローは、セッションのハイジャックに関連する異常をSlackが検出した場合にセキュリティオペレーションチームがSlackセッションを無効化し、管理者に連絡するように設計されています。

このフローは、異常なイベントについてSlack Risk Audit APIを定期的にチェックし、セキュリティ関連の特定の関心イベントについて結果をフィルタリングします。このフローは、異常なイベントに関連する任意のSlackセッションを無効化します。

また、これらのイベントについて組織のセキュリティオペレーションチームまたはSlack管理者に通知するようにも構成されています。通知を受けた管理側は、ユーザーがアカウント乗っ取りの被害を受けているかどうかを調査できます。

このテンプレートはSlackのBlock UIフレームワークを使用して、構造化され、視覚的に魅力的なメッセージを作成します。柔軟な設計により、組織の特定のニーズに合わせてメッセージの内容と形式をカスタマイズできます。

このテンプレートでは、XaaSモデルを実装してSmartHRからレコードをインポートする方法を示します。このフローでは、SmartHRにレコードをリクエストし、取得したレコードリストを一時Workflowsテーブルに保存してから、インポートセッションを作成して一括インポートリクエストを処理します。

ダウンストリームアプリケーション間でユーザーIDを一貫した形で維持することは、優れたユーザーエクスペリエンス、コンプライアンス、ガバナンスに不可欠です。グループメンバーシップに基づいてダウンストリームアプリケーションを自動的にプロビジョニングすると、単純で効果的なソリューションを実現できます。このテンプレートは、Okta内のグループメンバーシップに基づいてShopify顧客を作成・更新・削除するブループリントになります。

このフローは、TwilioからSMSメッセージを送信する方法を示しています。

このテンプレートはVMware Workspace Oneのセキュリティイベントをリッスンし、侵害されたデバイスまたはコンプライアンス違反のデバイスをキャプチャします。Oktaはこの情報を使用して、ユーザーがアクセスできるシステムとそのセキュリティレベルを判定します。