Okta向けのSCIMの設定方法
この記事では、Okta向けにSCIMを設定する方法について説明します。Okta向けにSCIMを設定すると、KMSATコンソールでOktaを使用してユーザーを管理できます。KMSATコンソールでSCIMを有効にする方法については、「SCIM設定ガイド」を参照してください。
以下では、サードパーティソフトウェアの操作について説明します。Oktaでのユーザープロビジョニングで問題が発生した場合は、Oktaにアクセスして具体的な手順を確認することをお勧めします。KnowBe4のサポートチームに問い合わせることも可能です。
Okta向けのSCIMの設定方法については、以下のセクションを参照してください。
リンク先:
SCIMの設定
SCIMの設定
KMSATの[アカウント設定]でSCIMを設定したら、Okta向けにSCIMを設定できます。Okta向けにSCIMを設定するには、以下のステップに従って操作します。
- Oktaポータルにログインし、[Applications(アプリケーション)]に移動します。
- [Browse App Catalog(アプリカタログを参照)]をクリックします。
- 検索バーに「KnowBe4」と入力し、検索結果を絞り込みます。
- KnowBe4アプリを選択します。
注:すでにOktaにKnowBe4 SAMLアプリがある場合、このアプリはそのままにしておくことができます。
- [Add Integration(インテグレーションの追加)]をクリックします。
- 必要に応じて、名前と設定を編集します。
- [Done(完了)]をクリックします。
- [Provisioning(プロビジョニング)]タブに移動します。
- [Integration(インテグレーション)]サブセクションをクリックします。
- [Configure API Integration(APIインテグレーションの設定)]をクリックします。
- [Enable API integration(APIインテグレーションを有効化)]チェックボックスを選択します。
- KMSATの[アカウント設定]の[テナントURL]を[SCIM connector base URL(SCIMコネクタのベースURL)]フィールドに貼り付けます。テナントURLにアクセスする方法については、「SCIM設定ガイド」の「SCIMの設定」セクションを参照してください。
- KMSATの[Account Settings(アカウント設定)]にある[SCIMトークン]を[API Token(APIトークン)]フィールドに貼り付けます。SCIMトークンにアクセスする方法については、「SCIM設定ガイド」の「SCIMの設定」セクションを参照してください。
- [Test API Credentials(API資格情報をテスト)]をクリックします。
- テストが成功したか失敗したかを通知するメッセージが表示されます。テストに成功した場合は、 [保存]をクリックします。
- これでKMSATコンソールとOktaの連携が完了しましたので、Oktaで管理するサービスを有効にできます。操作を開始するには、[To App(アプリへ)]をクリックします。
- [Provisioning to App(アプリへプロビジョニング)]セクションの右側にある[Edit(編集)]をクリックします。
- 使用する各機能について[Enable(有効)]チェックボックスを選択します。
Okta向けにSCIMを設定した後には、同期するユーザーを選択する必要があります。Oktaによるユーザーの同期の詳細については、以下の「同期するユーザーとグループの定義」のセクションを参照してください。
同期するユーザーとグループの定義
上記の「SCIMの設定」セクションのステップに従って操作したら、同期するユーザーとグループを定義できます。IDプロバイダとユーザーを同期する前に、同期するユーザーとグループを定義する必要があります。
注:グループを定義する場合、追加のグループ属性は空白にしておくことをお勧めします。これらの追加属性を空白にすると、空白の属性の代わりに個々のユーザーの属性が同期されます。以下のフィールドについてグループ属性を設定した場合、グループ属性は割り当てられたユーザーの個々のユーザー属性よりも優先されます。
同期するユーザーとグループを定義するには、以下のステップに従って操作します。
- Oktaポータルにログインし、[Applications(アプリケーション)]に移動します。
- 上記の「SCIMの設定」セクションで作成したSCIMアプリケーションをクリックします。
- [Assignments(割り当て)]タブに移動します。
- [Assign(割り当て)]をクリックして、同期するユーザーを選択します。
- ユーザーまたはグループのどちらを定義するかに応じて、[Assign to People(ユーザーに割り当て)]または[Assign to Groups(グループに割り当て)]のいずれかをクリックします。
- 同期するユーザーまたはグループを選択します。
- [Assign(割り当て)]をクリックします。
- 同期するユーザーまたはグループを選択したら、[Save and Go Back(保存して戻る)]をクリックします。
- 必要なユーザーとグループをすべて追加したら、[Done(完了)]をクリックします。
選択したユーザーとグループが、[Assignments(割り当て)]タブに表示されます。
プッシュするグループの定義
OktaとKMSATコンソールでグループとグループメンバーシップを同期するには、以下のステップに従って操作します。
重要:現在、[Push now(今すぐプッシュ)]ボタンはサポートされていません。このボタンをクリックすると、選択したグループからメンバーシップが削除される場合があります。
- Oktaポータルにログインし、[Applications(アプリケーション)]に移動します。
- 上記の「SCIMの設定」セクションで作成したSCIMアプリケーションをクリックします。
- [Push Groups(グループをプッシュ)]をクリックします。
- 表示されるドロップダウンメニューから[Find groups by name(名前でグループを検索)]を選択します。
- 同期するグループ名を入力します。
- [保存]をクリックします。
属性マッピング
Oktaでは、OktaとKMSATコンソール間で同期するフィールドを定義するために、カスタマイズ可能な属性マッピングが用意されています。これらの属性マッピングを変更するには、以下のステップに従って操作します。
- Oktaポータルにログインし、[Applications(アプリケーション)]に移動します。
- 上記の「SCIMの設定」セクションで作成したSCIMアプリケーションをクリックします。
- [Provisioning(プロビジョニング)]をクリックします。
- [To App(アプリへ)]をクリックします。
- [Attribute Mappings(属性マッピング)]セクションが表示されるまで、下方にスクロールします。
- 必要な変更を行います。
- 変更内容を保存します。
KMSATコンソールのフィールドには、Oktaから更新しないフィールドがある場合があります。ベストプラクティスとして、これらの属性マッピングを削除し、Oktaと同期するときにこれらのフィールドが更新されないようにすることをお勧めします。
Oktaの属性マッピングの詳細については、以下の「高度な設定オプション」のセクションを参照してください。
同期の開始
SCIMを設定し、同期するユーザーとグループを追加したら、同期を開始できます。最初の同期を開始した後は、Oktaとの同期は自動的に行われます。また、Oktaのポータルからいつでも手動で強制的に同期を開始できます。
注:お使いのSCIMプロビジョニングアプリケーションに数千人を超えるユーザーがいる場合、最初の同期ではすべてのユーザーが含まれない可能性があります。しかし、アカウントのユーザーは段階的に同期されます。同期レポート間で僅かな変更しか確認されないようになるまでは、ユーザーのプロビジョニングを[テストモード]で実行することをお勧めします。僅かな変更しか確認されないようになるまで待機すると、KMSATコンソールでユーザーがアーカイブされるのを防止できます。
また、グループメンバーシップを同期する場合には、ユーザーを同期するよりも長い時間がかかる場合があります。アカウントの規模が大きい場合、KMSATコンソールで定期的に同期が行われます。
同期を開始するには、以下のステップに従って操作します。
- Oktaポータルにログインし、[Applications(アプリケーション)]に移動します。
- 上記の「SCIMの設定」セクションで作成したSCIMアプリケーションをクリックします。
- [Provisioning(プロビジョニング)]をクリックします。
- [Force Sync(同期を強制)]をクリックします。
すぐに同期が開始されます。初めて同期した後は、Oktaでユーザー情報が変更されると、自動的に同期されるようになります。
同期を開始すると、KMSATコンソールの[プロビジョニング]タブで同期のステータスを確認し、エラーを把握できます。[プロビジョニング]タブの詳細については、「[プロビジョニング]タブの使用方法」の記事を参照してください。
高度な設定オプション
デフォルトのフィールドマッピングを変更したり、KnowBe4のカスタムフィールドをマッピングしたりして、Oktaの設定をカスタマイズできます。Oktaの設定をカスタマイズする方法の詳細については、以下のサブセクションを参照してください。
注:[メールエイリアス]は、SCIMのプロビジョニングでは現在サポートされていません。
デフォルトフィールドマッピングの変更
デフォルトのフィールドマッピングを変更できます。デフォルトのフィールドマッピングを次の表に示します。
|
KMSATフィールド |
SCIM属性 |
Oktaのフィールド |
|
メール |
userName |
userName |
|
名 |
givenName |
user.firstName |
|
姓 |
familyName |
user.lastName |
|
電話番号 |
primaryPhone |
user.primaryPhone |
|
場所 |
formatted |
user.postalAddress |
|
部門 |
division |
user.division |
|
従業員番号 |
employeeNumber |
user.employeeNumber |
|
役職 |
title |
user.title |
|
組織 |
Organization |
user.organization |
|
部署 |
department |
user.department |
|
携帯電話番号 |
mobilePhone |
user.mobilePhone |
|
マネージャーの表示名 |
managerDisplayName |
user.manager |
|
マネージャーのメール |
managerEmail |
user.managerId |
|
KMSATフィールド |
Oktaのフィールド |
SCIM属性 |
| タイムゾーン | 該当なし | 該当なし |
| 内線番号 | 該当なし | 該当なし |
| 言語 | 該当なし | 該当なし |
| コメント | 該当なし | 該当なし |
| 従業員の入社日 | 該当なし | 該当なし |
デフォルトのフィールドマッピングを変更するには、以下のステップに従って操作します。
- Oktaポータルにログインし、[Applications(アプリケーション)]に移動します。
- 上記の「SCIMの設定」セクションで作成したSCIMアプリケーションをクリックします。
- [Provisioning(プロビジョニング)]をクリックします。
- [To App(アプリへ)]を選択します。
- [Attribute Mappings(属性マッピング)]セクションに移動します。
- 鉛筆のアイコンをクリックして、新しいOktaフィールドをSCIM属性にマッピングします。
カスタムフィールドのマッピング
また、KMSATコンソールと同期するカスタムフィールドをマッピングすることもできます。
これらのフィールドはデフォルトではマッピングされませんが、以下の手順でOktaプラットフォームに追加できます。
- Oktaポータルにログインし、[Applications(アプリケーション)]に移動します。
- 上記の「SCIMの設定」セクションで作成したSCIMアプリケーションをクリックします。
- [Provisioning(プロビジョニング)]をクリックします。
- 下方にスクロールして、[Show Unmapped Attributes(マッピングされていない属性を表示)]をクリックします。
- 追加する属性の横にある鉛筆アイコンをクリックします。
- [Attribute(属性)]の値のドロップダウンメニューから、各カスタムフィールドにマッピングするOkta属性を選択します。
- [保存]をクリックします。
注:[カスタム日付]属性を設定するときには、日付にISO 8601フォーマットを使用する必要があります。このフォーマットは、YYYY-MM-DD “T” hh:mm:ssZとなります。例えば、2022-04-04T04:23:30Zのように指定します。
この機能を使用するときにサポートが必要な場合は、KnowBe4のサポートチームにお問い合わせください。
コメント
0件のコメント
記事コメントは受け付けていません。