Okta End User MCP server
Okta End User MCP serverを使用すると、LLMは自然な会話を通じてOktaのID、アクセス、認証情報を理解し、取得できます。 Okta End User MCP serverは、IDプロファイルの理解、アクセスできるアプリケーションの確認、AIとの会話から直接SSOリンクを使ったアプリケーションの迅速な起動に役立ちます。
用途
次のアクションを実行する予定がある場合は、Okta End User MCP serverを使用します:
- ロール、部門、マネージャーなど、自分のOktaプロファイル情報を表示
- 現在アクセスできるアプリケーションを確認
- Oktaに移動せずにアプリケーションを起動するための直接SSOリンクを取得
- 組織上のコンテキストとレポートラインを理解
- プロファイル属性とID情報を確認
プロンプト例
次のプロンプト例を使用して、Okta End User MCP serverツールを呼び出します:
Oktaでの私の役職と部門は何ですか。私のマネージャーは誰ですか。どのアプリケーションにアクセスできますか。私のOktaプロファイル情報を表示してください。Salesforceを起動するためのSSOリンクを取得してください。どのアプリにアクセスできますか。
Okta End User MCP serverツール
Okta End User MCP serverは次のツールを提供します:
| ツール | 説明 |
|---|---|
| get_my_user_profile | 認証済みユーザーのプロファイル情報と組織情報を取得します。 |
| list_assigned_applications | 認証済みユーザーに現在割り当てられている一連のアプリケーションを取得します。 |
| get_application_sso_link | 認証済みユーザーに割り当てられているアプリケーションのシングルサインオン(SSO)リンクを取得します。 |
Okta End User MCP serverのインストール
構築済みMCPサーバーをプロジェクトにインストールするには、次の手順を完了します:
Workatoアカウントにサインインします。
AI Hub > MCP serversに移動します。
+ Create MCP serverをクリックします。
接続済みアプリを使用して構築済みMCPサーバーを開始するセクションに移動し、使用する構築済みMCPサーバーを選択します。
Use this serverをクリックします。
サーバー名フィールドにMCPサーバーの名前を入力します。
場所ドロップダウンメニューを使用して、MCPサーバーのプロジェクトを選択します。
Connectionsセクションに移動し、アプリアカウントに接続します。
MCPサーバーテンプレートで使用するコネクションタイプを選択します。
- User's connection: MCPサーバーツールは、アプリケーションに接続するユーザーのIDと権限に基づいてアクションを実行します。 ユーザーは自分の認証情報で認証し、スキルを実行します。
- Your connection: このオプションでは、レシピビルダーによって確立されたコネクションを使用し、通常のアプリコネクションと同じ原則に従います。
コネクションタイプを選択
検証済みユーザーアクセスの認証要件
OAuth 2.0認可コードグラントを使用するアプリコネクションのみが、ユーザーのコネクションで利用できます。 詳細については、検証済みユーザーアクセスを参照してください。
次のセクションで、アプリ固有のコネクション設定手順を完了します。
Oktaコネクション設定
Oktaコネクション設定手順を表示
Oktaは次の認証タイプをサポートしています:
コネクションのセキュリティを向上させるため、Workatoでは認可コードグラント認証(OAuth 2.0)またはクライアントクレデンシャルベースの認証(OAuth 2.0)のいずれかを使用することを推奨しています。 これらの方法では、WorkatoがOktaでアクセスできるリソースを制御するきめ細かな権限も定義できます。
VIRTUAL PRIVATE WORKATO (VPW)のお客様
この機能を使用するには、お使いのVirtual Private Workato(VPW)インスタンスに固有の設定手順が必要です。 VPWをご利用のお客様は、インスタンスの設定詳細について、VPWのプライベートドキュメントを参照してください。
認可コードグラント認証
認可コードグラント認証では、Oktaでアプリ統合とシークレットを作成する必要があります。
認可コードグラントコネクション設定手順を表示
最小スコープとデフォルトスコープ
OAuth 2.0スコープは、WorkatoがOktaインスタンスに対して持つアクセスレベルを定義します。 次のセクションを確認し、OAuth 2.0認可コードグラント認証のためにアプリ統合に割り当てるスコープを決定してください。
最小スコープを表示
okta.logs.readokta.schemas.readoffline_accessopenid
追加スコープを表示
デフォルトスコープを表示
okta.logs.readokta.schemas.readoffline_accessopenidokta.eventHooks.manageokta.users.manageokta.groups.manageokta.apps.read
認可コードグラント認証用のアプリ統合とシークレットの作成
認可コードグラント認証用のアプリ統合とシークレットを作成するには、次の手順を実行します。
管理者権限を持つユーザーとしてOkta組織にサインインします。
Okta 管理コンソールに移動し、アプリケーション > アプリケーションを選択します。
Create App Integrationをクリックします。
サインイン方法セクションを見つけ、OIDC - OpenID Connectを選択します。
アプリケーションタイプセクションに移動し、Webアプリケーションを選択します。
新しいWebアプリ統合ページで一意のアプリ統合名を入力します。
新しいアプリ統合を作成
トークンリクエストで所有証明(DPoP)ヘッダーを要求フィールドが選択解除されていることを確認します。
グラントタイプセクションのユーザーに代わって動作するクライアントフィールドで、次のチェックボックスを選択します。
- 認可コード
- リフレッシュトークン
サインインリダイレクトURIセクションに次のWorkatoコールバックURIを入力します: https://www.workato.com/oauth/callback
サインインリダイレクトURI
希望に応じて割り当てオプションを選択し、保存を選択します。 Oktaがアプリ統合を作成します。
一般タブに移動し、クライアントIDとクライアントシークレットをコピーして、これらの認証情報をWorkatoに入力できるようにします。
クライアントIDとクライアントシークレットをコピー
一般設定に移動し、所有証明フィールドが選択解除されていることを確認します。
Okta APIスコープタブに移動し、必要なスコープをアプリ統合に割り当てます。 コネクションには、少なくとも次のスコープが必要です。
okta.logs.readokta.schemas.read
offline_accessとopenidの権限は自動的に割り当てられます。
カスタムロールを使用している場合、コネクションには次の追加スコープが必要です。
okta.users.read
Okta APIスコープを割り当て
認可コードグラント認証を使用したOktaへの接続
WorkatoでOktaへの認可コードグラントコネクションを作成するには、次の手順を実行します:
作成 > コネクションをクリックするか、Cを2回押します。
New connectionページで、コネクションとしてOktaを検索して選択します。
コネクション名フィールドに、コネクションの一意の名前を入力します。
コネクションに名前を付ける
ロケーションドロップダウンメニューを使用して、コネクションを保存するプロジェクトを選択します。
Authentication typeドロップダウンメニューを使用して、Authorization code grantを選択します。
Okta domainフィールドにOktaドメイン名を入力します。 例: mycompany.okta.comまたはmytest.oktapreview.com。 入力するドメイン名に、mycompany-admin.okta.comなどの-adminが含まれていないことを確認してください。このURLはUIからOkta管理コンソールにアクセスするために使用され、OAuthエンドポイントではありません。
Client IDを入力します。
Client secretを入力します。
Advanced settingsセクションを展開し、OAuth 2.0 scopesドロップダウンメニューを使用して、このコネクション用に追加のOAuth 2.0スコープを選択します。 スコープは、OktaインスタンスのApplications > Applications > Okta API Scopesで定義されているスコープと一致している必要があります。
Workatoは、指定したスコープに加えて、最低限必要なスコープをリクエストします。 特定のスコープを選択しない場合、Workatoはデフォルトのスコープをリクエストします。
接続をクリックします。
クライアント認証情報認証
クライアント認証情報認証では、Oktaでアプリ統合と秘密鍵を作成する必要があります。
クライアント認証情報コネクション設定手順を表示
最小スコープとデフォルトスコープ
OAuth 2.0スコープは、WorkatoがOktaインスタンスに対して持つアクセスレベルを定義します。 OAuth 2.0クライアント資格情報認証でアプリ統合に割り当てるスコープを決定するには、次のセクションを確認してください。 コネクションで必要最小限のスコープを超えるスコープを使用する場合、アプリ統合にOktaのRead-only Administratorロールを割り当てる必要があります。 アプリ統合でカスタムロールを使用する場合は、代わりに該当するカスタムロールを割り当てることができます。
最小スコープを表示
okta.logs.readokta.schemas.read
追加スコープを表示
デフォルトスコープを表示
okta.logs.readokta.schemas.readokta.eventHooks.manageokta.users.manageokta.groups.manageokta.apps.read
クライアント認証情報認証用のアプリ統合と秘密鍵の作成
クライアント資格情報ベースの認証用のアプリ統合と秘密鍵を作成するには、次の手順を実行します:
管理者権限を持つユーザーとしてOkta組織にサインインします。
Okta 管理コンソールに移動し、アプリケーション > アプリケーションを選択します。
Create App Integrationをクリックします。
新しいアプリ統合を作成ページのサインイン方法セクションでAPIサービスを選択します。
APIサービスを選択
一意のアプリ統合名を入力し、新しいAPIサービスアプリ統合ページで保存をクリックします。
アプリ統合名を入力
編集をクリックし、クライアント認証セクションで公開鍵/秘密鍵を選択します。
公開鍵セクションに移動し、編集をクリックします。
キーを追加をクリックします。
新しいキーを生成をクリックして、新しいキーペアを生成します。
公開鍵を追加
秘密鍵セクションに移動し、PEMを選択します。
クリップボードにコピーをクリックして、秘密鍵をコピーします。 このキーをWorkatoのOktaコネクション設定に入力します。 ページを離れると、秘密鍵を再度取得することはできません。
クリップボードにコピーをクリックして秘密鍵をコピー
完了をクリックします。
新しいアプリ統合の一般タブで保存をクリックし、キーを保存して有効化します。 Workatoに接続するには、その前にキーを保存する必要があります。
既存のクライアントシークレットは使用されなくなりますというメッセージが表示された場合は、保存をクリックします。
キーのステータスがアクティブに変わったことを確認します。
General > General Settingsに移動し、Proof of possessionフィールドの選択が解除されていることを確認します。
Okta APIスコープタブに移動し、必要なスコープをアプリ統合に割り当てます。 コネクションには、次の最小スコープが必要です:
okta.logs.readokta.schemas.read
カスタムロールを使用している場合、コネクションには次の追加スコープが必要です。
okta.users.read
Okta APIスコープを割り当て
管理者ロールタブに移動し、割り当てを編集をクリックします。
ロールドロップダウンメニューを使用して、Read-only Administratorまたは該当するカスタムロールを選択します。
変更を保存をクリックします。
クライアント認証情報認証を使用したOktaへの接続
WorkatoでOktaへのクライアント認証情報コネクションを作成するには、次の手順を実行します:
作成 > コネクションをクリックするか、Cを2回押します。
New connectionページで、コネクションとしてOktaを検索して選択します。
コネクション名フィールドに、コネクションの一意の名前を入力します。
コネクションに名前を付ける
ロケーションドロップダウンメニューを使用して、コネクションを保存するプロジェクトを選択します。
認証タイプドロップダウンメニューで、クライアント認証情報を選択します。
Okta domainフィールドにOktaドメイン名を入力します。 例: mycompany.okta.comまたはmytest.oktapreview.com。 入力するドメイン名に、mycompany-admin.okta.comのような-adminが含まれていないことを確認してください。 このURLはUIからOkta管理コンソールにアクセスするために使用されるもので、OAuthエンドポイントではありません。
Client IDを入力します。
Oktaで生成した秘密鍵をPEM形式で秘密鍵フィールドに入力します。 必ず-----BEGIN PRIVATE KEY-----と-----END PRIVATE KEY-----を含めてください。
Advanced settingsセクションを展開し、OAuth 2.0 scopesドロップダウンメニューを使用して、このコネクション用に追加のOAuth 2.0スコープを選択します。 スコープは、OktaインスタンスのApplications > Applications > Okta API Scopesで定義されているスコープと一致している必要があります。
Workatoは、最低限必要なスコープに加えて、指定したスコープをリクエストします。 特定のスコープを選択しない場合、Workatoはデフォルトのスコープをリクエストします。
接続をクリックします。
APIキーベースの認証
APIキーによる認証では、OktaでAPIキーを作成する必要があります。
APIキーコネクション設定手順を表示
APIキーの生成
APIキーの権限と制限
APIキーを作成するには、Oktaの管理者権限が必要です。 続行する前に、管理者としてログインしていることを確認してください。
Workatoでは、コネクションで使用するユーザーとAPIキーに組織管理者またはスーパー管理者権限があることが必要です。 APIキーは、そのキーを作成した管理者からすべての権限を継承し、特定のリソースまたは操作に制限することはできません。 セキュリティを向上させるため、スコープ付きOAuth 2.0アクセストークンを使用することをお勧めします。
詳細については、APIトークンを作成を参照してください。
OktaでAPIキーを生成するには、次の手順を完了します:
Oktaにサインインします。
セキュリティ>API>トークンに移動します。
トークンを作成をクリックして、APIキーを生成します。 キーは、それを作成した管理者の権限を継承します。
APIキーベースの認証を使用したOktaへの接続
WorkatoでOktaへのAPIキーコネクションを作成するには、次の手順を実行します:
作成 > コネクションをクリックするか、Cを2回押します。
New connectionページで、コネクションとしてOktaを検索して選択します。
コネクション名フィールドに、コネクションの一意の名前を入力します。
Okta APIキーコネクションのセットアップ
Authentication typeドロップダウンメニューを使用してAPI keyを選択します。
Okta domainフィールドにOktaドメイン名を入力します。 例: mycompany.okta.comまたはmytest.oktapreview.com。 入力するドメイン名に、mycompany-admin.okta.comなどの-adminが含まれていないことを確認してください。このURLはUIからOkta管理コンソールにアクセスするために使用され、OAuthエンドポイントではありません。
Oktaインスタンスで生成したAPIキーを入力します。
接続をクリックします。
Okta End User MCP serverツールの使用方法
利用可能なツールの詳細については、次のセクションを参照してください:
get_my_user_profileツール
get_my_user_profileツールは、プロファイル情報と組織情報を取得します。 LLMはこのツールを使用して、ロール、部門、役職、マネージャー、その他のプロファイル属性など、詳細なIDコンテキストを提供します。
質問例:
私の正式な役職と部門は何ですか。私のOktaプロファイル情報を表示してください。Oktaでの私のマネージャーは誰ですか。私のロールと組織情報は何ですか。
list_assigned_applicationsツール
list_assigned_applicationsツールは、現在自分に割り当てられているアプリケーションを取得します。 LLMはこのツールを使用して、Oktaを通じてすでにアクセスできるアプリケーションを表示し、現在のアクセス権限を把握できるようにします。
質問例:
Oktaでどのアプリケーションにアクセスできますか。割り当てられているすべてのアプリを表示してください。使用できるアプリケーションを一覧表示してください。Oktaを通じてどのツールやサービスにアクセスできますか。
get_application_sso_linkツール
get_application_sso_linkツールは、認証済みユーザーに割り当てられているアプリケーションのシングルサインオン(SSO)リンクを取得します。 LLMはこのツールを使用して、Okta UIに移動せずに特定のアプリを起動します。
質問例:
Salesforceを起動するためのSSOリンクを取得してください。Google Workspaceにアクセスするための直接リンクを提供してください。ZoomのSSOリンクを開いてください。HRポータルにはどうアクセスすればよいですか。 リンクを取得してください。
はじめに
MCP serverのツールは、Overviewページのツールセクションで表示および管理できます。 ツール管理では、次の機能を利用できます:
ツールを開始する必要があります
LLMは、MCP server connector内のアクティブなツールにのみアクセスできます。
Last updated: