メインコンテンツへスキップ

始める前に

Auth0テナントにSAML接続を作成し、Okta Workforce Identity Cloud Dashboardを使ってカスタムのSAMLアプリケーションに接続します。
このセクションでは、Okta Workforce Identity CloudのテナントにカスタムとSCIMアプリ統合を構成する方法について説明します。これは、ユーザーをAuth0のSCIMエンドポイントにプロビジョニングするのに使うことができます。

Auth0でSCIM設定を構成する

  1. Auth0 Dashboardを開いて、 [Authentication(認証)]>[Enterprise(エンタープライズ)]>[SAML]> [使用している接続] >[Provisioning(プロビジョニング)] に移動します。
  2. [Sync user profile attributes at each login(ログインの度にユーザープロファイル属性を同期する)] を無効にします。ただし、ログイン時に追加の属性を同期する場合には有効にしておきます。
  3. 同じセクションで、 [Sync user profiles using SCIM(SCIMを使用してユーザープロファイルを同期する)] を有効にします。
  4. [Mapping(マッピング)] タブで、 [SCIM attribute containing the User ID(ユーザーIDを含むSCIM属性)] 設定が [userName] になっていることを確認します。
  5. [Additional Mappings(追加のマッピング)] で、拡張されたSCIM属性が任意のAuth0属性にマッピングされていることを、属性のマッピングに照らし合わせて確認します。電話番号や物理アドレスを受け取った場合には、Okta WorkforceがこれらをデフォルトでphoneNumbers[primary eq true].valueaddresses[primary eq true].*として送信することに注意してください。
  6. SCIMのuserName属性をAuth0のemail属性にマッピングします。そうすることで、すでにこの接続がメールアドレスのログインIDで運用に導入されており、既存のユーザープロファイルにAuth0のusername属性が設定されていない場合に、Oktaは既存のユーザーを検索して合致させることができます。 [Additional Mappings(追加のマッピング)] で以下の属性のペアを見つけます。 
    {
    "scim": "userName",
    "auth0": "username"
  }
    それを以下と置き換えてから、emails[primary eq true].valueへのマッピングを削除します。 
    {
    "scim": "userName",
    "auth0": "email"
  }
  7. [Save Changes(変更を保存)] を選択します。

SCIMエンドポイントURLとトークンを取得する

  1. Auth0 Dashboardで、SCIMの [Setup(セットアップ)] タブを参照し、 SCIMエンドポイントURL をコピーして、安全な場所に貼り付けます。
  2. [Generate New Token(新しいトークンの生成)] を選択し、トークンに任意の有効期限を設定します。Okta Workforceに付与したいスコープを選択することもできます。Okta Workforceがデフォルトで使用するスコープはget:userspost:users、およびput:usersです。

SAMLアプリ用にOkta WorkforceでSCIMを構成する

  1. Okta Workforce Identity CloudのSAMLアプリケーションに移動し、 [General(一般)] タブを選択してから、 [App Settings(アプリ設定)][Edit(編集)] を選択します。
  2. [Provisioning(プロビジョニング)] セクションで、 [SCIM] を選択して [Save(保存)] をクリックします。
  3. [General(一般)] タブで、[Federation Broker Mode(フェデレーションブローカーモード)]が無効になっていることを確認します。
  4. [Provisioning(プロビジョニング)] タブを選択してから、 [Integration(統合)] タブで [Edit(編集)] をクリックします。
  5. 前の手順でコピーした SCIMエンドポイントURL の値を [SCIM connector base URL(SCIMコネクターのベースURL)] セクションに入力します。
  6. [Unique identifier field for users(ユーザーの一意の識別子フィールド)] に「 userName 」と入力します。
  7. [Supported provisioning actions(サポートされているプロビジョニングアクション)] で、[Push New Users(新規ユーザーをプッシュ)]と[Push Profile Updates(プロファイル更新をプッシュ)]を選択してから、 [HTTP Header(HTTPヘッダー)][Authentication Mode(認証モード)] として選択します。
  8. [Authorization(認可)] フィールドにSCIMトークンを貼り付けてから、新しい接続をテストしたい場合には [Test Connection Configuration(接続構成のテスト}] を選択します。 [Save(保存)] を選択します。
    Inbound SCIM WIC Configuration
  9. [Provisioning(プロビジョニング)]>[Settings(設定)]>[To App(アプリ対象)] に移動し、 [Edit(編集)] を選択してから、 [Create Users(ユーザーの作成]、[Update User Attributes(ユーザー属性の更新)] 、および [Deactivate users(ユーザーの非アクティブ化)] の操作を有効にします。 [Save(保存)] を選択します。
  10. [Attribute Mappings(属性のマッピング)] セクションで、 [X] ボタンを使って以下の行を 削除 します。
属性
主なメールタイプ(user.email != null && user.email != '') ? 'work' : ‘'
主な電話タイプ(user.primaryPhone != null && user.primaryPhone != '') ? 'work' : ‘'
住所タイプ(user.streetAddress != null && user.streetAddress != '') ? 'work' : ‘'
他のSCIM属性をOkta WICからSCIMエンドポイントに追加で送信したい場合には、 [Attribute Mappings(属性のマッピング)] を使って構成します。カスタム属性を追加する際には、SCIM 2.0の有効な外部名前空間プロパティを必ず含めます。外部名前空間の詳細については、Oktaのヘルプセクションを参照してください。 これで、 [Assignments(割り当て)] タブを使ってユーザーのプロビジョニングをテストすることができます。また、Okta管理ポータルの [Directory(ディレクトリ)]>[People(ユーザー)] セクションでユーザー属性を編集して、更新をテストすることもできます。
I