Okta
概要
Okta(会社) は、クラウドベースの IDaaS を提供するリーディングプロバイダーであり、企業やアプリケーションに対して認証・認可の仕組みを提供しています。
Okta には大きく分けて以下の製品群があります。
- Okta Platform: すべての Okta サービスの基盤となるクラウド ID プラットフォーム
- Okta Workforce Identity: 社員・パートナーなど社内ユーザー向けの ID 管理製品群
- Auth0 Platform: 顧客向けアプリケーションに組み込む開発者向け ID プラットフォーム
Okta コネクタは、Okta Workforce Identity の Universal Directory 機能を操作を提供します。
| 公式HP | https://www.okta.com/ja-jp/products/workforce-identity/ |
|---|---|
| 公式ヘルプ | https://support.okta.com/help/s/translatedhome?language=ja |
| APIドキュメント | https://developer.okta.com/docs/reference/ |
サービス仕様
Okta Workforce Identity は社員のアカウントを統合管理し、SSOやMFAで安全にアプリへアクセスさせ、入退社のライフサイクルまで自動化するサービスです。
主要機能
認証とアクセス制御
- シングルサインオン (SSO)
- 多要素認証 (MFA)
- パスワードレス認証
- 条件付きアクセス(リスクベース認証、場所やデバイスに応じた制御)
ディレクトリとアイデンティティ管理
- Universal Directoryによるユーザー・グループ・属性管理
- カスタム属性やスキーマ拡張
ライフサイクル管理
- ユーザーのプロビジョニングとデプロビジョニング(自動作成・削除・更新)
- 入社・異動・退職に伴うアカウントライフサイクルの自動化
セキュリティとポリシー
- 認証ポリシー(パスワードポリシー、MFA要件の設定)
- アクセス制御ポリシー(利用条件に応じた制限)
- 監査ログとレポートによる追跡性の確保
管理と運用
- 管理者ロールと権限分離(Super Admin, User Admin, App Admin など)
- REST API / SCIM / SDK による外部システム連携
- Okta Integration Network (OIN) による SaaS 連携
コネクタ仕様
業務アセットの作成
Okta との接続には、API トークンが必要です。
権限
以下の権限を持ったユーザーで API トークンを発行する必要があります
- ユーザー
- ユーザーを管理
- グループ
- グループを管理
- IDおよびアクセス管理
- ロール、リソース、管理者の割り当てを表示
- アプリケーション
- アプリケーションを管理
API トークンの作成方法
次の手順で API トークンを作成して取得してください。
- 管理画面のサイドメニューから、セキュリティ > API へ移動してください
- トークン タブを開いて トークンの作成 ボタンを選択してください
- 任意の Token 名を入力し、 トークンの作成 を実行してください
- 表示された トークン値 を利用してください
アカウント管理
アカウントの作成
Entra ID 上に同一のログイン名のアカウントが存在するかに応じて以下のような挙動になります。
| 同一メールアドレスのアカウントが Oktaに存在しない | アカウントを新規作成する |
|---|---|
| 同一メールアドレスの有効なアカウントが Oktaに存在する | そのアカウントの情報を更新する |
| 同一メールアドレスの無効なアカウントが Oktaに存在する | そのアカウントを有効にして情報を更新する |
パスワードの設定
パスワード設定に対応しています。
アカウント作成時にパスワードの生成をしない場合、招待メールが送信されるので、そこからパスワードを自分で設定する形となります。
アカウント作成時にパスワードを生成する場合、メールは送信されません。別途パスワードを共有しログインしていただく形になります。
割当種別
| 割当種別名 | タイプ | 割当項目 | 備考 |
|---|---|---|---|
| グループ | • グループA • グループB • グループC … | • グループのタイプが Oktaグループ のみ管理対象です • Everyone, Okta Administrators は条件に合わせて自動的に割り当てられるユーザーが操作できない特権グループなので管理対象外です • 項目は管理画面のグループページ( )から確認できます | |
| ロール | • スーパ管理者 • 組織管理者 • アプリケーション管理者 • グループ管理者 • グループメンバーシップ管理者 • ヘルプデスク管理者 • モバイル管理者 • レポート閲覧者 • 読み取り専用管理者 … | • 項目は管理画面の管理者ページのロールタブ( )から確認できます | |
| アプリケーション | • Okta Admin Console • Okta Dashboard • Okta Browser Plugin … | • 項目は管理画面のアプリケーションページ( )から確認できます |
グループの割当順について
Okta のグループは割当の順番を指定することができます。
- 数字が小さいものから順番にタスク実行されます
- 空の優先度は一番最後になります
Okta で Google Workspace のアカウントを管理している場合、一番最初に Google Workspace の割当をしたいケースなどで利用できます。
同期する項目
| 必須 | 属性名 | key | デフォルト値 | 型 | 例 | 備考 |
|---|---|---|---|---|---|---|
| ✅ | ユーザーの一意の識別子 ( ) | - | ||||
| ✅ | ユーザーのプライマリメールアドレス | - | ||||
| - | ユーザーのセカンダリ電子メール アドレス | - | - | アカウントの回復に使用するメールアドレスです | ||
| - | ユーザーの名 ( ) | - | ||||
| - | ユーザーの姓 ( ) | - | ||||
| - | ユーザーのミドルネーム | - | - | |||
| - | 使用者の敬称の接頭辞、またはほとんどの欧米言語では肩書き | - | - | |||
| - | ユーザーの接尾辞 | - | - | |||
| - | ユーザーの肩書き(「副社長」など | - | - | |||
| - | エンドユーザーに表示するのに適したユーザー名 | - | - | |||
| - | ニックネーム | - | - | |||
| - | ユーザーのオンラインプロフィールのURL(例:ウェブページ) | - | - | |||
| - | 自宅の電話番号など、ユーザーのプライマリ電話番号 | - | - | |||
| - | 利用者の携帯電話番号 | - | - | |||
| - | ユーザーの住所の道路 | - | - | |||
| - | ユーザーの住所の市区町村 | - | - | |||
| - | ユーザーの住所の州または地域 | - | - | |||
| - | 郵便番号 | - | - | |||
| - | 国コード | - | - | 国コードが正しくないと無視(Oktaに反映されずアカウントが作られる)されるので注意 | ||
| - | 郵便住所 | - | - | |||
| - | ユーザーが使う言語 | - | , | |||
| - | ロケール | - | , | |||
| - | タイムゾーン | - | , | |||
| - | Employee(従業員)」や「Contractor(請負業者)」など、組織とユーザーの関係を表すために使用される。 | - | - | |||
| - | 組織または会社から割り当てられたユーザー固有の識別子 | - | - | |||
| - | ユーザーに割り当てられたコストセンター名 | - | - | |||
| - | ユーザーの組織名 | - | ||||
| - | ユーザーの所属部門名 | - | ||||
| - | ユーザーの部署名 | - | ||||
| - | ユーザーのマネージャーのID | - | - | |||
| - | ユーザーのマネージャーの表示名 | - | - | |||
| - | 初期ログインパスワード | - | - | 指定しない場合はデフォルトでYESODが作成したパスワードになります。 | ||
| - | カスタム属性 | - | / | - | というカスタム属性の場合、キーの設定は となります。 ユーザープロファイルで定義されていないカスタム属性をkeyとして指定した場合、エラーになります。 また、カスタム属性の設定で設けられている制約事項(例として string の 長さ など)に違反している場合も、エラーになります。 |
グループプッシュ(グループ)
割当種別の「グループ」はグループプッシュに対応しています。
グループプッシュ自体の説明は以下を参照ください。