Okta
Oktaは、従業員と顧客のIDを整理するクラウドサービスです。
最新のアプリケーションの安全なユーザー認証の管理を企業に支援し、開発者がIDコントロールをアプリケーション、Webサービス、およびデバイスに組み込むのを支援するクラウドソフトウェアを提供します。
APIバージョン
OktaコネクターはCore Okta API v1を使用します。
コネクション設定
Oktaは次の認証タイプをサポートしています:
コネクションのセキュリティを向上させるため、Workatoでは認可コードグラント認証(OAuth 2.0)またはクライアントクレデンシャルベースの認証(OAuth 2.0)のいずれかを使用することを推奨しています。 これらの方法では、WorkatoがOktaでアクセスできるリソースを制御するきめ細かな権限も定義できます。
VIRTUAL PRIVATE WORKATO (VPW)のお客様
この機能を使用するには、お使いのVirtual Private Workato(VPW)インスタンスに固有の設定手順が必要です。 VPWをご利用のお客様は、インスタンスの設定詳細について、VPWのプライベートドキュメントを参照してください。
認可コードグラント認証
認可コードグラント認証では、OktaでクライアントIDとシークレットを生成する必要があります。
最小スコープとデフォルトスコープ
OAuth 2.0スコープは、WorkatoがOktaインスタンスに対して持つアクセスレベルを定義します。 次のセクションを確認し、OAuth 2.0認可コードグラント認証のためにアプリ統合に割り当てるスコープを決定してください。
最小スコープを表示
okta.logs.readokta.schemas.readoffline_accessopenid
追加スコープを表示
デフォルトスコープを表示
okta.logs.readokta.schemas.readoffline_accessopenidokta.eventHooks.manageokta.users.manageokta.groups.manageokta.apps.read
認可コードグラント認証用のアプリ統合とシークレットの作成
認可コードグラント認証用のアプリ統合とシークレットを作成するには、次の手順を実行します。
管理者権限を持つユーザーとしてOkta組織にサインインします。
Okta 管理コンソールに移動し、アプリケーション > アプリケーションを選択します。
Create App Integrationをクリックします。
サインイン方法セクションを見つけ、OIDC - OpenID Connectを選択します。
アプリケーションタイプセクションに移動し、Webアプリケーションを選択します。
新しいWebアプリ統合ページで一意のアプリ統合名を入力します。
新しいアプリ統合を作成
トークンリクエストで所有証明(DPoP)ヘッダーを要求フィールドが選択解除されていることを確認します。
グラントタイプセクションのユーザーに代わって動作するクライアントフィールドで、次のチェックボックスを選択します。
- 認可コード
- リフレッシュトークン
サインインリダイレクトURIセクションに次のWorkatoコールバックURIを入力します: https://www.workato.com/oauth/callback
サインインリダイレクトURI
希望に応じて割り当てオプションを選択し、保存を選択します。 Oktaがアプリ統合を作成します。
一般タブに移動し、クライアントIDとクライアントシークレットをコピーして、これらの認証情報をWorkatoに入力できるようにします。
クライアントIDとクライアントシークレットをコピー
一般設定に移動し、所有証明フィールドが選択解除されていることを確認します。
Okta APIスコープタブに移動し、必要なスコープをアプリ統合に割り当てます。 コネクションには、少なくとも次のスコープが必要です。
okta.logs.readokta.schemas.read
offline_accessとopenidの権限は自動的に割り当てられます。
カスタムロールを使用している場合、コネクションには次の追加スコープが必要です。
okta.users.read
Okta APIスコープを割り当て
認可コードグラント認証を使用したOktaへの接続
WorkatoでOktaへの認可コードグラントコネクションを作成するには、次の手順を実行します:
作成 > コネクションをクリックするか、Cを2回押します。
New connectionページで、コネクションとしてOktaを検索して選択します。
コネクション名フィールドに、コネクションの一意の名前を入力します。
コネクションに名前を付ける
ロケーションドロップダウンメニューを使用して、コネクションを保存するプロジェクトを選択します。
Authentication typeドロップダウンメニューを使用して、Authorization code grantを選択します。
Okta domainフィールドにOktaドメイン名を入力します。 例: mycompany.okta.comまたはmytest.oktapreview.com。 入力するドメイン名に、mycompany-admin.okta.comなどの-adminが含まれていないことを確認してください。このURLはUIからOkta管理コンソールにアクセスするために使用され、OAuthエンドポイントではありません。
Client IDを入力します。
Client secretを入力します。
Advanced settingsセクションを展開し、OAuth 2.0 scopesドロップダウンメニューを使用して、このコネクション用に追加のOAuth 2.0スコープを選択します。 スコープは、OktaインスタンスのApplications > Applications > Okta API Scopesで定義されているスコープと一致している必要があります。
Workatoは、指定したスコープに加えて、最低限必要なスコープをリクエストします。 特定のスコープを選択しない場合、Workatoはデフォルトのスコープをリクエストします。
接続をクリックします。
クライアント認証情報ベースの認証
クライアント認証情報認証では、Oktaでクライアントと秘密鍵を作成する必要があります。
最小スコープとデフォルトスコープ
OAuth 2.0スコープは、WorkatoがOktaインスタンスに対して持つアクセスレベルを定義します。 OAuth 2.0クライアント資格情報認証でアプリ統合に割り当てるスコープを決定するには、次のセクションを確認してください。 コネクションで必要最小限のスコープを超えるスコープを使用する場合、アプリ統合にOktaのRead-only Administratorロールを割り当てる必要があります。 アプリ統合でカスタムロールを使用する場合は、代わりに該当するカスタムロールを割り当てることができます。
最小スコープを表示
okta.logs.readokta.schemas.read
追加スコープを表示
デフォルトスコープを表示
okta.logs.readokta.schemas.readokta.eventHooks.manageokta.users.manageokta.groups.manageokta.apps.read
クライアント認証情報ベースの認証用のアプリ統合と秘密鍵の作成
クライアント資格情報ベースの認証用のアプリ統合と秘密鍵を作成するには、次の手順を実行します:
管理者権限を持つユーザーとしてOkta組織にサインインします。
Okta 管理コンソールに移動し、アプリケーション > アプリケーションを選択します。
Create App Integrationをクリックします。
新しいアプリ統合を作成ページのサインイン方法セクションでAPIサービスを選択します。
APIサービスを選択
一意のアプリ統合名を入力し、新しいAPIサービスアプリ統合ページで保存をクリックします。
アプリ統合名を入力
編集をクリックし、クライアント認証セクションで公開鍵/秘密鍵を選択します。
公開鍵セクションに移動し、編集をクリックします。
キーを追加をクリックします。
新しいキーを生成をクリックして、新しいキーペアを生成します。
公開鍵を追加
秘密鍵セクションに移動し、PEMを選択します。
クリップボードにコピーをクリックして、秘密鍵をコピーします。 このキーをWorkatoのOktaコネクション設定に入力します。 ページを離れると、秘密鍵を再度取得することはできません。
クリップボードにコピーをクリックして秘密鍵をコピー
完了をクリックします。
新しいアプリ統合の一般タブで保存をクリックし、キーを保存して有効化します。 Workatoに接続するには、その前にキーを保存する必要があります。
既存のクライアントシークレットは使用されなくなりますというメッセージが表示された場合は、保存をクリックします。
キーのステータスがアクティブに変わったことを確認します。
General > General Settingsに移動し、Proof of possessionフィールドの選択が解除されていることを確認します。
Okta APIスコープタブに移動し、必要なスコープをアプリ統合に割り当てます。 コネクションには、次の最小スコープが必要です:
okta.logs.readokta.schemas.read
カスタムロールを使用している場合、コネクションには次の追加スコープが必要です。
okta.users.read
Okta APIスコープを割り当て
管理者ロールタブに移動し、割り当てを編集をクリックします。
ロールドロップダウンメニューを使用して、Read-only Administratorまたは該当するカスタムロールを選択します。
変更を保存をクリックします。
クライアント認証情報認証を使用したOktaへの接続
WorkatoでOktaへのクライアント認証情報コネクションを作成するには、次の手順を実行します:
作成 > コネクションをクリックするか、Cを2回押します。
New connectionページで、コネクションとしてOktaを検索して選択します。
コネクション名フィールドに、コネクションの一意の名前を入力します。
コネクションに名前を付ける
ロケーションドロップダウンメニューを使用して、コネクションを保存するプロジェクトを選択します。
認証タイプドロップダウンメニューで、クライアント認証情報を選択します。
Okta domainフィールドにOktaドメイン名を入力します。 例: mycompany.okta.comまたはmytest.oktapreview.com。 入力するドメイン名に、mycompany-admin.okta.comのような-adminが含まれていないことを確認してください。 このURLはUIからOkta管理コンソールにアクセスするために使用されるもので、OAuthエンドポイントではありません。
Client IDを入力します。
Oktaで生成した秘密鍵をPEM形式で秘密鍵フィールドに入力します。 必ず-----BEGIN PRIVATE KEY-----と-----END PRIVATE KEY-----を含めてください。
Advanced settingsセクションを展開し、OAuth 2.0 scopesドロップダウンメニューを使用して、このコネクション用に追加のOAuth 2.0スコープを選択します。 スコープは、OktaインスタンスのApplications > Applications > Okta API Scopesで定義されているスコープと一致している必要があります。
Workatoは、最低限必要なスコープに加えて、指定したスコープをリクエストします。 特定のスコープを選択しない場合、Workatoはデフォルトのスコープをリクエストします。
接続をクリックします。
APIキーベースの認証
APIキー認証では、OktaでAPIキーを生成する必要があります。
APIキーの生成
APIキーの権限と制限
APIキーを作成するには、Oktaの管理者権限が必要です。 続行する前に、管理者としてログインしていることを確認してください。
Workatoでは、コネクションで使用するユーザーとAPIキーに組織管理者またはスーパー管理者権限があることが必要です。 APIキーは、そのキーを作成した管理者からすべての権限を継承し、特定のリソースまたは操作に制限することはできません。 セキュリティを向上させるため、スコープ付きOAuth 2.0アクセストークンを使用することをお勧めします。
詳細については、APIトークンを作成を参照してください。
OktaでAPIキーを生成するには、次の手順を完了します:
Oktaにサインインします。
セキュリティ>API>トークンに移動します。
トークンを作成をクリックして、APIキーを生成します。 キーは、それを作成した管理者の権限を継承します。
APIキーベースの認証を使用したOktaへの接続
WorkatoでOktaへのAPIキーコネクションを作成するには、次の手順を実行します:
作成 > コネクションをクリックするか、Cを2回押します。
New connectionページで、コネクションとしてOktaを検索して選択します。
コネクション名フィールドに、コネクションの一意の名前を入力します。
Okta APIキーコネクションのセットアップ
Authentication typeドロップダウンメニューを使用してAPI keyを選択します。
Okta domainフィールドにOktaドメイン名を入力します。 例: mycompany.okta.comまたはmytest.oktapreview.com。 入力するドメイン名に、mycompany-admin.okta.comなどの-adminが含まれていないことを確認してください。このURLはUIからOkta管理コンソールにアクセスするために使用され、OAuthエンドポイントではありません。
Oktaインスタンスで生成したAPIキーを入力します。
接続をクリックします。
Last updated: