Okta

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

Oktaは、従業員と顧客のIDを整理するクラウドサービスです。

最新のアプリケーションの安全なユーザー認証の管理を企業に支援し、開発者がIDコントロールをアプリケーション、Webサービス、およびデバイスに組み込むのを支援するクラウドソフトウェアを提供します。

APIバージョン

OktaコネクターはCore Okta API v1を使用します。

コネクション設定

Oktaは次の認証タイプをサポートしています:

コネクションのセキュリティを向上させるため、Workatoでは認可コードグラント認証(OAuth 2.0)またはクライアントクレデンシャルベースの認証(OAuth 2.0)のいずれかを使用することを推奨しています。 これらの方法では、WorkatoがOktaでアクセスできるリソースを制御するきめ細かな権限も定義できます。

VIRTUAL PRIVATE WORKATO (VPW)のお客様

この機能を使用するには、お使いのVirtual Private Workato(VPW)インスタンスに固有の設定手順が必要です。 VPWをご利用のお客様は、インスタンスの設定詳細について、VPWのプライベートドキュメントを参照してください。

認可コードグラント認証

認可コードグラント認証では、OktaでクライアントIDとシークレットを生成する必要があります。

最小スコープとデフォルトスコープ

OAuth 2.0スコープは、WorkatoがOktaインスタンスに対して持つアクセスレベルを定義します。 次のセクションを確認し、OAuth 2.0認可コードグラント認証のためにアプリ統合に割り当てるスコープを決定してください。

最小スコープを表示
Oktaコネクターで認可コードグラント認証を使用してOktaへのコネクションを確立するには、次の最小スコープが必要です:
  • okta.logs.read
  • okta.schemas.read
  • offline_access
  • openid
追加スコープを表示
Oktaインスタンスの**Applications > Applications > Okta API Scopes**で定義されているスコープから、ユースケースに必要な追加スコープを選択します。 `okta.users.read`を選択して、カスタムロールを使用して接続します。
デフォルトスコープを表示
特定のスコープを選択しない場合、Workatoは次のデフォルトスコープをリクエストします:
  • okta.logs.read
  • okta.schemas.read
  • offline_access
  • openid
  • okta.eventHooks.manage
  • okta.users.manage
  • okta.groups.manage
  • okta.apps.read

認可コードグラント認証用のアプリ統合とシークレットの作成

認可コードグラント認証用のアプリ統合とシークレットを作成するには、次の手順を実行します。

1

管理者権限を持つユーザーとしてOkta組織にサインインします。

2

Okta 管理コンソールに移動し、アプリケーション > アプリケーションを選択します。

3

Create App Integrationをクリックします。

4

サインイン方法セクションを見つけ、OIDC - OpenID Connectを選択します。

5

アプリケーションタイプセクションに移動し、Webアプリケーションを選択します。

6

新しいWebアプリ統合ページで一意のアプリ統合名を入力します。

新しいアプリ統合を作成 新しいアプリ統合を作成

7

トークンリクエストで所有証明(DPoP)ヘッダーを要求フィールドが選択解除されていることを確認します。

8

グラントタイプセクションのユーザーに代わって動作するクライアントフィールドで、次のチェックボックスを選択します。

  • 認可コード
  • リフレッシュトークン
9

サインインリダイレクトURIセクションに次のWorkatoコールバックURIを入力します: https://www.workato.com/oauth/callback

サインインリダイレクトURI サインインリダイレクトURI

10

希望に応じて割り当てオプションを選択し、保存を選択します。 Oktaがアプリ統合を作成します。

11

一般タブに移動し、クライアントIDクライアントシークレットをコピーして、これらの認証情報をWorkatoに入力できるようにします。

クライアントIDとクライアントシークレットをコピー クライアントIDクライアントシークレットをコピー

12

一般設定に移動し、所有証明フィールドが選択解除されていることを確認します。

13

Okta APIスコープタブに移動し、必要なスコープをアプリ統合に割り当てます。 コネクションには、少なくとも次のスコープが必要です。

  • okta.logs.read
  • okta.schemas.read

offline_accessopenidの権限は自動的に割り当てられます。

カスタムロールを使用している場合、コネクションには次の追加スコープが必要です。

  • okta.users.read

Okta APIスコープを割り当て Okta APIスコープを割り当て

認可コードグラント認証を使用したOktaへの接続

WorkatoでOktaへの認可コードグラントコネクションを作成するには、次の手順を実行します:

1

作成 > コネクションをクリックするか、Cを2回押します。

2

New connectionページで、コネクションとしてOktaを検索して選択します。

3

コネクション名フィールドに、コネクションの一意の名前を入力します。

コネクションに名前を付けるコネクションに名前を付ける

4

ロケーションドロップダウンメニューを使用して、コネクションを保存するプロジェクトを選択します。

5

Authentication typeドロップダウンメニューを使用して、Authorization code grantを選択します。

6

Okta domainフィールドにOktaドメイン名を入力します。 例: mycompany.okta.comまたはmytest.oktapreview.com。 入力するドメイン名に、mycompany-admin.okta.comなどの-adminが含まれていないことを確認してください。このURLはUIからOkta管理コンソールにアクセスするために使用され、OAuthエンドポイントではありません。

7

Client IDを入力します。

8

Client secretを入力します。

9

Advanced settingsセクションを展開し、OAuth 2.0 scopesドロップダウンメニューを使用して、このコネクション用に追加のOAuth 2.0スコープを選択します。 スコープは、OktaインスタンスのApplications > Applications > Okta API Scopesで定義されているスコープと一致している必要があります。

Workatoは、指定したスコープに加えて、最低限必要なスコープをリクエストします。 特定のスコープを選択しない場合、Workatoはデフォルトのスコープをリクエストします。

10

接続をクリックします。

クライアント認証情報ベースの認証

クライアント認証情報認証では、Oktaでクライアントと秘密鍵を作成する必要があります。

最小スコープとデフォルトスコープ

OAuth 2.0スコープは、WorkatoがOktaインスタンスに対して持つアクセスレベルを定義します。 OAuth 2.0クライアント資格情報認証でアプリ統合に割り当てるスコープを決定するには、次のセクションを確認してください。 コネクションで必要最小限のスコープを超えるスコープを使用する場合、アプリ統合にOktaのRead-only Administratorロールを割り当てる必要があります。 アプリ統合でカスタムロールを使用する場合は、代わりに該当するカスタムロールを割り当てることができます。

最小スコープを表示
Okta connectorでは、クライアント資格情報認証を使用してOktaへのコネクションを確立するために、次の最小スコープが必要です:
  • okta.logs.read
  • okta.schemas.read
追加スコープを表示
Oktaインスタンスの**Applications > Applications > Okta API Scopes**で定義されているスコープから、ユースケースに必要な追加スコープを選択します。 `okta.users.read`を選択して、カスタムロールを使用して接続します。
デフォルトスコープを表示
特定のスコープを選択しない場合、Workatoは次のデフォルトスコープをリクエストします:
  • okta.logs.read
  • okta.schemas.read
  • okta.eventHooks.manage
  • okta.users.manage
  • okta.groups.manage
  • okta.apps.read

クライアント認証情報ベースの認証用のアプリ統合と秘密鍵の作成

クライアント資格情報ベースの認証用のアプリ統合と秘密鍵を作成するには、次の手順を実行します:

1

管理者権限を持つユーザーとしてOkta組織にサインインします。

2

Okta 管理コンソールに移動し、アプリケーション > アプリケーションを選択します。

3

Create App Integrationをクリックします。

4

新しいアプリ統合を作成ページのサインイン方法セクションでAPIサービスを選択します。

APIサービスを選択 APIサービスを選択

5

一意のアプリ統合名を入力し、新しいAPIサービスアプリ統合ページで保存をクリックします。

アプリ統合名 アプリ統合名を入力

6

編集をクリックし、クライアント認証セクションで公開鍵/秘密鍵を選択します。

7

公開鍵セクションに移動し、編集をクリックします。

8

キーを追加をクリックします。

9

新しいキーを生成をクリックして、新しいキーペアを生成します。

公開鍵を追加 公開鍵を追加

10

秘密鍵セクションに移動し、PEMを選択します。

11

クリップボードにコピーをクリックして、秘密鍵をコピーします。 このキーをWorkatoのOktaコネクション設定に入力します。 ページを離れると、秘密鍵を再度取得することはできません。

秘密鍵をコピー クリップボードにコピーをクリックして秘密鍵をコピー

12

完了をクリックします。

13

新しいアプリ統合の一般タブで保存をクリックし、キーを保存して有効化します。 Workatoに接続するには、その前にキーを保存する必要があります。

既存のクライアントシークレットは使用されなくなりますというメッセージが表示された場合は、保存をクリックします。

キーのステータスがアクティブに変わったことを確認します。

14

General > General Settingsに移動し、Proof of possessionフィールドの選択が解除されていることを確認します。

15

Okta APIスコープタブに移動し、必要なスコープをアプリ統合に割り当てます。 コネクションには、次の最小スコープが必要です:

  • okta.logs.read
  • okta.schemas.read

カスタムロールを使用している場合、コネクションには次の追加スコープが必要です。

  • okta.users.read

Okta APIスコープを割り当て Okta APIスコープを割り当て

16

管理者ロールタブに移動し、割り当てを編集をクリックします。

17

ロールドロップダウンメニューを使用して、Read-only Administratorまたは該当するカスタムロールを選択します。

18

変更を保存をクリックします。

クライアント認証情報認証を使用したOktaへの接続

WorkatoでOktaへのクライアント認証情報コネクションを作成するには、次の手順を実行します:

1

作成 > コネクションをクリックするか、Cを2回押します。

2

New connectionページで、コネクションとしてOktaを検索して選択します。

3

コネクション名フィールドに、コネクションの一意の名前を入力します。

コネクションに名前を付けるコネクションに名前を付ける

4

ロケーションドロップダウンメニューを使用して、コネクションを保存するプロジェクトを選択します。

5

認証タイプドロップダウンメニューで、クライアント認証情報を選択します。

6

Okta domainフィールドにOktaドメイン名を入力します。 例: mycompany.okta.comまたはmytest.oktapreview.com。 入力するドメイン名に、mycompany-admin.okta.comのような-adminが含まれていないことを確認してください。 このURLはUIからOkta管理コンソールにアクセスするために使用されるもので、OAuthエンドポイントではありません。

7

Client IDを入力します。

8

Oktaで生成した秘密鍵をPEM形式で秘密鍵フィールドに入力します。 必ず-----BEGIN PRIVATE KEY----------END PRIVATE KEY-----を含めてください。

9

Advanced settingsセクションを展開し、OAuth 2.0 scopesドロップダウンメニューを使用して、このコネクション用に追加のOAuth 2.0スコープを選択します。 スコープは、OktaインスタンスのApplications > Applications > Okta API Scopesで定義されているスコープと一致している必要があります。

Workatoは、最低限必要なスコープに加えて、指定したスコープをリクエストします。 特定のスコープを選択しない場合、Workatoはデフォルトのスコープをリクエストします。

10

接続をクリックします。

APIキーベースの認証

APIキー認証では、OktaでAPIキーを生成する必要があります。

APIキーの生成


APIキーの権限と制限

APIキーを作成するには、Oktaの管理者権限が必要です。 続行する前に、管理者としてログインしていることを確認してください。

Workatoでは、コネクションで使用するユーザーとAPIキーに組織管理者またはスーパー管理者権限があることが必要です。 APIキーは、そのキーを作成した管理者からすべての権限を継承し、特定のリソースまたは操作に制限することはできません。 セキュリティを向上させるため、スコープ付きOAuth 2.0アクセストークンを使用することをお勧めします。

詳細については、APIトークンを作成を参照してください。

OktaでAPIキーを生成するには、次の手順を完了します:

1

Oktaにサインインします。

2

セキュリティ>API>トークンに移動します。

3

トークンを作成をクリックして、APIキーを生成します。 キーは、それを作成した管理者の権限を継承します。

APIキーベースの認証を使用したOktaへの接続

WorkatoでOktaへのAPIキーコネクションを作成するには、次の手順を実行します:

1

作成 > コネクションをクリックするか、Cを2回押します。

2

New connectionページで、コネクションとしてOktaを検索して選択します。

3

コネクション名フィールドに、コネクションの一意の名前を入力します。

Okta APIキーコネクションのセットアップOkta APIキーコネクションのセットアップ

4

Authentication typeドロップダウンメニューを使用してAPI keyを選択します。

5

Okta domainフィールドにOktaドメイン名を入力します。 例: mycompany.okta.comまたはmytest.oktapreview.com。 入力するドメイン名に、mycompany-admin.okta.comなどの-adminが含まれていないことを確認してください。このURLはUIからOkta管理コンソールにアクセスするために使用され、OAuthエンドポイントではありません。

6

Oktaインスタンスで生成したAPIキーを入力します。

7

接続をクリックします。

Last updated: