Okta Workforce接続のインバウンドSCIM

Before you start

IDプロバイダーのヘルプページに記載の指示に従って、Okta Workforce Identity CloudをIDプロバイダーとして有効にします。

この統合では2つのアプリケーションをOkta Workforceで登録する必要があり、それらはOpenID Connect統合とSCIM統合になります。どちらにも必ず同じユーザーを割り当てます。この要件を取り除いて、顧客のセットアッププロセスを効率よくするために、Okta Integration Networkにアプリを提出してください。

このセクションでは、Okta Workfoce Identity CloudテナントでカスタムのOpenID ConnectとSCIMアプリの統合を構成する方法を説明します。この統合を使用して、ユーザーをAuth0のSCIMエンドポイントにプロビジョニングすることができます。

Okta Workforce Identity CloudでのSAMLとSCIMの統合の構成については、「Okta Workforce SAML接続のインバウンドSCIM」をお読みください。

Auth0でSCIM設定を構成する

  1. [Auth0 Dashboard]を開いて、[Authentication(認証)]>[Enterprise(エンタープライズ)]>[SAML]> [あなたの接続] >[Provisioning(プロビジョニング)]に移動します。

  2. ログイン時に追加の属性を同期する場合を除き、[Sync user profile attributes at each login(ログインの度にユーザープロファイル属性を同期する)]を無効にします。

  3. 同じセクションで、[Sync user profiles using SCIM(SCIMを使用してユーザープロファイルを同期する)]を有効にします。

  4. [Mapping(マッピング)]タブで、[SCIM attribute containing the User ID(ユーザーIDを含むSCIM属性)][externalId]に設定されていることを確認します。

[Additional Mappings(追加のマッピング)]で、拡張されたSCIM属性が任意のAuth0属性にマッピングされていることも確認できます。

SCIMエンドポイントURLとトークンを取得する

  1. Auth0 Dashboardで、SCIMの[Setup(セットアップ)]タブを参照し、SCIMエンドポイントURLをコピーして、安全な場所に貼り付けます。

  2. [Generate New Token(新しいトークンの生成)]を選択し、トークンに対して任意の有効期限を設定します。任意で、Okta Workforceに付与したいスコープを選択できます。デフォルトで必要なOkta Workforceに使用されるスコープは、get:userspost:usersput:usersです。

OIDCアプリ用のSCIMをOkta Workforceで構成する

  1. OIDCベースのユーザー認証のために、Okta WorkforceテナントにOpenID Connectアプリケーションがすでに登録されていることを確認してください。

  2. OpenID Connectionアプリケーションでフェデレーションブローカーモードが無効になっていることを確認してください。

  3. Oktaポータルで2つ目のアプリケーションを登録するには、[Applications(アプリケーション)]>[Applications(アプリケーション)]の次に、[Create App Integration(アプリ統合を作成)]、[Secure Web Authentication][Next(次へ)]を選択します。

  4. [General App Settings(アプリの一般設定)]ページで、名前とURLを設定し、[Do not display application icon to users(ユーザーにアプリケーションアイコンを表示しない)]を選択します。入力されたURLはSCIM統合に使用されません。

  5. [Finish(完了)]を選択します。

  6. [General(一般)]タブに移動し、[Edit(編集)]を選択した後、[Provisioning(プロビジョニング)]セクションに移動します。

  7. [SCIM][Save(保存)]の順に選択します。

  8. 統合の[Provisioning(プロビジョニング)]タブから、[Integration(統合)]タブに移動します。

  9. [Edit(編集)]を選択し、[SCIM connector base URL(SCIMコネクターベースURL)]セクションに移動したら、先ほどコピーしたSCIMエンドポイントURLの値を入力します。

  10. ユーザーの一意の識別子フィールドには、userNameを入力します。

  11. [Supported provisioning actions(サポートされているプロビジョニングアクション)]から[Push New Users(新規ユーザーをプッシュ)][Push Profile Updates(プロファイルの更新をプッシュ)]を選択し、[HTTP Header(HTTPヘッダー)][Authentication Mode(認証モード)]として選択します。

  12. [Authorization(認可)]フィールドにトークン値を貼り付け、接続を試したい場合は[Test Connection Configuration(接続構成のテスト)]を選択します。[Save(保存)]を選択します。

  13. [Provisioning(プロビジョニング)]>[Settings(設定)]>[To App(アプリへ)]に移動し、[Edit(編集)]を選択します。

  14. [Create Users(ユーザーの作成)]、[Update User Attributes(ユーザー属性の更新)][Deactivate Users(ユーザーの非アクティブ化)]を有効にします。[Save(保存)]を選択します。

  15. [Attribute Mappings(属性マッピング)]セクションで[X]ボタンを使用して以下の行を削除します。PUT操作中に問題が生じる可能性があるため、これらは必要ありません。

属性
主なメールタイプ (user.email != null && user.email != '') ? 'work' : ‘'
主な電話タイプ (user.primaryPhone != null && user.primaryPhone != '') ? 'work' : ‘'
住所タイプ (user.streetAddress != null && user.streetAddress != '') ? 'work' : ‘'

[Attribute Mappings(属性マッピング)]セクションを使用して、Okta WICからSCIMエンドポイントに送ってほしいすべての追加SCIM属性を構成します。カスタム属性を追加する場合、有効なSCIM 2.0外部名前空間プロパティを含む必要があります。外部名前空間の詳細については、Oktaのヘルプセクションをお読みください。

これで[Assignments(割り当て)]タブからユーザープロビジョニングをテストし、Okta管理ポータルの[Directory(ディレクトリ)]>[People(ユーザー)]セクションでユーザー属性を編集して、更新操作をテストできます。