Okta End User MCP server

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

Okta End User MCP serverを使用すると、LLMは自然な会話を通じてOktaのID、アクセス、認証情報を理解し、取得できます。 Okta End User MCP serverは、IDプロファイルの理解、アクセスできるアプリケーションの確認、AIとの会話から直接SSOリンクを使ったアプリケーションの迅速な起動に役立ちます。

用途

次のアクションを実行する予定がある場合は、Okta End User MCP serverを使用します:

  • ロール、部門、マネージャーなど、自分のOktaプロファイル情報を表示
  • 現在アクセスできるアプリケーションを確認
  • Oktaに移動せずにアプリケーションを起動するための直接SSOリンクを取得
  • 組織上のコンテキストとレポートラインを理解
  • プロファイル属性とID情報を確認

プロンプト例

次のプロンプト例を使用して、Okta End User MCP serverツールを呼び出します:

  • Oktaでの私の役職と部門は何ですか。
  • 私のマネージャーは誰ですか。
  • どのアプリケーションにアクセスできますか。
  • 私のOktaプロファイル情報を表示してください。
  • Salesforceを起動するためのSSOリンクを取得してください。
  • どのアプリにアクセスできますか。

Okta End User MCP serverツール

Okta End User MCP serverは次のツールを提供します:

ツール説明
get_my_user_profile認証済みユーザーのプロファイル情報と組織情報を取得します。
list_assigned_applications認証済みユーザーに現在割り当てられている一連のアプリケーションを取得します。
get_application_sso_link認証済みユーザーに割り当てられているアプリケーションのシングルサインオン(SSO)リンクを取得します。

Okta End User MCP serverのインストール

構築済みMCPサーバーをプロジェクトにインストールするには、次の手順を完了します:

1

Workatoアカウントにサインインします。

2

AI Hub > MCP serversに移動します。

3

+ Create MCP serverをクリックします。

4

接続済みアプリを使用して構築済みMCPサーバーを開始するセクションに移動し、使用する構築済みMCPサーバーを選択します。

5

Use this serverをクリックします。

6

サーバー名フィールドにMCPサーバーの名前を入力します。

7

場所ドロップダウンメニューを使用して、MCPサーバーのプロジェクトを選択します。

8

Connectionsセクションに移動し、アプリアカウントに接続します。

9

MCPサーバーテンプレートで使用するコネクションタイプを選択します。

  • User's connection: MCPサーバーツールは、アプリケーションに接続するユーザーのIDと権限に基づいてアクションを実行します。 ユーザーは自分の認証情報で認証し、スキルを実行します。
  • Your connection: このオプションでは、レシピビルダーによって確立されたコネクションを使用し、通常のアプリコネクションと同じ原則に従います。

コネクションタイプを選択コネクションタイプを選択

検証済みユーザーアクセスの認証要件

OAuth 2.0認可コードグラントを使用するアプリコネクションのみが、ユーザーのコネクションで利用できます。 詳細については、検証済みユーザーアクセスを参照してください。

10

次のセクションで、アプリ固有のコネクション設定手順を完了します。

Oktaコネクション設定

Oktaコネクション設定手順を表示

Oktaは次の認証タイプをサポートしています:

コネクションのセキュリティを向上させるため、Workatoでは認可コードグラント認証(OAuth 2.0)またはクライアントクレデンシャルベースの認証(OAuth 2.0)のいずれかを使用することを推奨しています。 これらの方法では、WorkatoがOktaでアクセスできるリソースを制御するきめ細かな権限も定義できます。

VIRTUAL PRIVATE WORKATO (VPW)のお客様

この機能を使用するには、お使いのVirtual Private Workato(VPW)インスタンスに固有の設定手順が必要です。 VPWをご利用のお客様は、インスタンスの設定詳細について、VPWのプライベートドキュメントを参照してください。

認可コードグラント認証

認可コードグラント認証では、Oktaでアプリ統合とシークレットを作成する必要があります。

認可コードグラントコネクション設定手順を表示

最小スコープとデフォルトスコープ

OAuth 2.0スコープは、WorkatoがOktaインスタンスに対して持つアクセスレベルを定義します。 次のセクションを確認し、OAuth 2.0認可コードグラント認証のためにアプリ統合に割り当てるスコープを決定してください。

最小スコープを表示
Oktaコネクターで認可コードグラント認証を使用してOktaへのコネクションを確立するには、次の最小スコープが必要です:
  • okta.logs.read
  • okta.schemas.read
  • offline_access
  • openid
追加スコープを表示
Oktaインスタンスの**Applications > Applications > Okta API Scopes**で定義されているスコープから、ユースケースに必要な追加スコープを選択します。 `okta.users.read`を選択して、カスタムロールを使用して接続します。
デフォルトスコープを表示
特定のスコープを選択しない場合、Workatoは次のデフォルトスコープをリクエストします:
  • okta.logs.read
  • okta.schemas.read
  • offline_access
  • openid
  • okta.eventHooks.manage
  • okta.users.manage
  • okta.groups.manage
  • okta.apps.read

認可コードグラント認証用のアプリ統合とシークレットの作成

認可コードグラント認証用のアプリ統合とシークレットを作成するには、次の手順を実行します。

1

管理者権限を持つユーザーとしてOkta組織にサインインします。

2

Okta 管理コンソールに移動し、アプリケーション > アプリケーションを選択します。

3

Create App Integrationをクリックします。

4

サインイン方法セクションを見つけ、OIDC - OpenID Connectを選択します。

5

アプリケーションタイプセクションに移動し、Webアプリケーションを選択します。

6

新しいWebアプリ統合ページで一意のアプリ統合名を入力します。

新しいアプリ統合を作成 新しいアプリ統合を作成

7

トークンリクエストで所有証明(DPoP)ヘッダーを要求フィールドが選択解除されていることを確認します。

8

グラントタイプセクションのユーザーに代わって動作するクライアントフィールドで、次のチェックボックスを選択します。

  • 認可コード
  • リフレッシュトークン
9

サインインリダイレクトURIセクションに次のWorkatoコールバックURIを入力します: https://www.workato.com/oauth/callback

サインインリダイレクトURI サインインリダイレクトURI

10

希望に応じて割り当てオプションを選択し、保存を選択します。 Oktaがアプリ統合を作成します。

11

一般タブに移動し、クライアントIDクライアントシークレットをコピーして、これらの認証情報をWorkatoに入力できるようにします。

クライアントIDとクライアントシークレットをコピー クライアントIDクライアントシークレットをコピー

12

一般設定に移動し、所有証明フィールドが選択解除されていることを確認します。

13

Okta APIスコープタブに移動し、必要なスコープをアプリ統合に割り当てます。 コネクションには、少なくとも次のスコープが必要です。

  • okta.logs.read
  • okta.schemas.read

offline_accessopenidの権限は自動的に割り当てられます。

カスタムロールを使用している場合、コネクションには次の追加スコープが必要です。

  • okta.users.read

Okta APIスコープを割り当て Okta APIスコープを割り当て

認可コードグラント認証を使用したOktaへの接続

WorkatoでOktaへの認可コードグラントコネクションを作成するには、次の手順を実行します:

1

作成 > コネクションをクリックするか、Cを2回押します。

2

New connectionページで、コネクションとしてOktaを検索して選択します。

3

コネクション名フィールドに、コネクションの一意の名前を入力します。

コネクションに名前を付けるコネクションに名前を付ける

4

ロケーションドロップダウンメニューを使用して、コネクションを保存するプロジェクトを選択します。

5

Authentication typeドロップダウンメニューを使用して、Authorization code grantを選択します。

6

Okta domainフィールドにOktaドメイン名を入力します。 例: mycompany.okta.comまたはmytest.oktapreview.com。 入力するドメイン名に、mycompany-admin.okta.comなどの-adminが含まれていないことを確認してください。このURLはUIからOkta管理コンソールにアクセスするために使用され、OAuthエンドポイントではありません。

7

Client IDを入力します。

8

Client secretを入力します。

9

Advanced settingsセクションを展開し、OAuth 2.0 scopesドロップダウンメニューを使用して、このコネクション用に追加のOAuth 2.0スコープを選択します。 スコープは、OktaインスタンスのApplications > Applications > Okta API Scopesで定義されているスコープと一致している必要があります。

Workatoは、指定したスコープに加えて、最低限必要なスコープをリクエストします。 特定のスコープを選択しない場合、Workatoはデフォルトのスコープをリクエストします。

10

接続をクリックします。

クライアント認証情報認証

クライアント認証情報認証では、Oktaでアプリ統合と秘密鍵を作成する必要があります。

クライアント認証情報コネクション設定手順を表示

最小スコープとデフォルトスコープ

OAuth 2.0スコープは、WorkatoがOktaインスタンスに対して持つアクセスレベルを定義します。 OAuth 2.0クライアント資格情報認証でアプリ統合に割り当てるスコープを決定するには、次のセクションを確認してください。 コネクションで必要最小限のスコープを超えるスコープを使用する場合、アプリ統合にOktaのRead-only Administratorロールを割り当てる必要があります。 アプリ統合でカスタムロールを使用する場合は、代わりに該当するカスタムロールを割り当てることができます。

最小スコープを表示
Okta connectorでは、クライアント資格情報認証を使用してOktaへのコネクションを確立するために、次の最小スコープが必要です:
  • okta.logs.read
  • okta.schemas.read
追加スコープを表示
Oktaインスタンスの**Applications > Applications > Okta API Scopes**で定義されているスコープから、ユースケースに必要な追加スコープを選択します。 `okta.users.read`を選択して、カスタムロールを使用して接続します。
デフォルトスコープを表示
特定のスコープを選択しない場合、Workatoは次のデフォルトスコープをリクエストします:
  • okta.logs.read
  • okta.schemas.read
  • okta.eventHooks.manage
  • okta.users.manage
  • okta.groups.manage
  • okta.apps.read

クライアント認証情報認証用のアプリ統合と秘密鍵の作成

クライアント資格情報ベースの認証用のアプリ統合と秘密鍵を作成するには、次の手順を実行します:

1

管理者権限を持つユーザーとしてOkta組織にサインインします。

2

Okta 管理コンソールに移動し、アプリケーション > アプリケーションを選択します。

3

Create App Integrationをクリックします。

4

新しいアプリ統合を作成ページのサインイン方法セクションでAPIサービスを選択します。

APIサービスを選択 APIサービスを選択

5

一意のアプリ統合名を入力し、新しいAPIサービスアプリ統合ページで保存をクリックします。

アプリ統合名 アプリ統合名を入力

6

編集をクリックし、クライアント認証セクションで公開鍵/秘密鍵を選択します。

7

公開鍵セクションに移動し、編集をクリックします。

8

キーを追加をクリックします。

9

新しいキーを生成をクリックして、新しいキーペアを生成します。

公開鍵を追加 公開鍵を追加

10

秘密鍵セクションに移動し、PEMを選択します。

11

クリップボードにコピーをクリックして、秘密鍵をコピーします。 このキーをWorkatoのOktaコネクション設定に入力します。 ページを離れると、秘密鍵を再度取得することはできません。

秘密鍵をコピー クリップボードにコピーをクリックして秘密鍵をコピー

12

完了をクリックします。

13

新しいアプリ統合の一般タブで保存をクリックし、キーを保存して有効化します。 Workatoに接続するには、その前にキーを保存する必要があります。

既存のクライアントシークレットは使用されなくなりますというメッセージが表示された場合は、保存をクリックします。

キーのステータスがアクティブに変わったことを確認します。

14

General > General Settingsに移動し、Proof of possessionフィールドの選択が解除されていることを確認します。

15

Okta APIスコープタブに移動し、必要なスコープをアプリ統合に割り当てます。 コネクションには、次の最小スコープが必要です:

  • okta.logs.read
  • okta.schemas.read

カスタムロールを使用している場合、コネクションには次の追加スコープが必要です。

  • okta.users.read

Okta APIスコープを割り当て Okta APIスコープを割り当て

16

管理者ロールタブに移動し、割り当てを編集をクリックします。

17

ロールドロップダウンメニューを使用して、Read-only Administratorまたは該当するカスタムロールを選択します。

18

変更を保存をクリックします。

クライアント認証情報認証を使用したOktaへの接続

WorkatoでOktaへのクライアント認証情報コネクションを作成するには、次の手順を実行します:

1

作成 > コネクションをクリックするか、Cを2回押します。

2

New connectionページで、コネクションとしてOktaを検索して選択します。

3

コネクション名フィールドに、コネクションの一意の名前を入力します。

コネクションに名前を付けるコネクションに名前を付ける

4

ロケーションドロップダウンメニューを使用して、コネクションを保存するプロジェクトを選択します。

5

認証タイプドロップダウンメニューで、クライアント認証情報を選択します。

6

Okta domainフィールドにOktaドメイン名を入力します。 例: mycompany.okta.comまたはmytest.oktapreview.com。 入力するドメイン名に、mycompany-admin.okta.comのような-adminが含まれていないことを確認してください。 このURLはUIからOkta管理コンソールにアクセスするために使用されるもので、OAuthエンドポイントではありません。

7

Client IDを入力します。

8

Oktaで生成した秘密鍵をPEM形式で秘密鍵フィールドに入力します。 必ず-----BEGIN PRIVATE KEY----------END PRIVATE KEY-----を含めてください。

9

Advanced settingsセクションを展開し、OAuth 2.0 scopesドロップダウンメニューを使用して、このコネクション用に追加のOAuth 2.0スコープを選択します。 スコープは、OktaインスタンスのApplications > Applications > Okta API Scopesで定義されているスコープと一致している必要があります。

Workatoは、最低限必要なスコープに加えて、指定したスコープをリクエストします。 特定のスコープを選択しない場合、Workatoはデフォルトのスコープをリクエストします。

10

接続をクリックします。

APIキーベースの認証

APIキーによる認証では、OktaでAPIキーを作成する必要があります。

APIキーコネクション設定手順を表示

APIキーの生成


APIキーの権限と制限

APIキーを作成するには、Oktaの管理者権限が必要です。 続行する前に、管理者としてログインしていることを確認してください。

Workatoでは、コネクションで使用するユーザーとAPIキーに組織管理者またはスーパー管理者権限があることが必要です。 APIキーは、そのキーを作成した管理者からすべての権限を継承し、特定のリソースまたは操作に制限することはできません。 セキュリティを向上させるため、スコープ付きOAuth 2.0アクセストークンを使用することをお勧めします。

詳細については、APIトークンを作成を参照してください。

OktaでAPIキーを生成するには、次の手順を完了します:

1

Oktaにサインインします。

2

セキュリティ>API>トークンに移動します。

3

トークンを作成をクリックして、APIキーを生成します。 キーは、それを作成した管理者の権限を継承します。

APIキーベースの認証を使用したOktaへの接続

WorkatoでOktaへのAPIキーコネクションを作成するには、次の手順を実行します:

1

作成 > コネクションをクリックするか、Cを2回押します。

2

New connectionページで、コネクションとしてOktaを検索して選択します。

3

コネクション名フィールドに、コネクションの一意の名前を入力します。

Okta APIキーコネクションのセットアップOkta APIキーコネクションのセットアップ

4

Authentication typeドロップダウンメニューを使用してAPI keyを選択します。

5

Okta domainフィールドにOktaドメイン名を入力します。 例: mycompany.okta.comまたはmytest.oktapreview.com。 入力するドメイン名に、mycompany-admin.okta.comなどの-adminが含まれていないことを確認してください。このURLはUIからOkta管理コンソールにアクセスするために使用され、OAuthエンドポイントではありません。

6

Oktaインスタンスで生成したAPIキーを入力します。

7

接続をクリックします。

Okta End User MCP serverツールの使用方法

利用可能なツールの詳細については、次のセクションを参照してください:

get_my_user_profileツール

get_my_user_profileツールは、プロファイル情報と組織情報を取得します。 LLMはこのツールを使用して、ロール、部門、役職、マネージャー、その他のプロファイル属性など、詳細なIDコンテキストを提供します。

質問例:

  • 私の正式な役職と部門は何ですか。
  • 私のOktaプロファイル情報を表示してください。
  • Oktaでの私のマネージャーは誰ですか。
  • 私のロールと組織情報は何ですか。

list_assigned_applicationsツール

list_assigned_applicationsツールは、現在自分に割り当てられているアプリケーションを取得します。 LLMはこのツールを使用して、Oktaを通じてすでにアクセスできるアプリケーションを表示し、現在のアクセス権限を把握できるようにします。

質問例:

  • Oktaでどのアプリケーションにアクセスできますか。
  • 割り当てられているすべてのアプリを表示してください。
  • 使用できるアプリケーションを一覧表示してください。
  • Oktaを通じてどのツールやサービスにアクセスできますか。

get_application_sso_linkツールは、認証済みユーザーに割り当てられているアプリケーションのシングルサインオン(SSO)リンクを取得します。 LLMはこのツールを使用して、Okta UIに移動せずに特定のアプリを起動します。

質問例:

  • Salesforceを起動するためのSSOリンクを取得してください。
  • Google Workspaceにアクセスするための直接リンクを提供してください。
  • ZoomのSSOリンクを開いてください。
  • HRポータルにはどうアクセスすればよいですか。 リンクを取得してください。

はじめに

MCP serverのツールは、Overviewページのツールセクションで表示および管理できます。 ツール管理では、次の機能を利用できます:

ツールを開始する必要があります

LLMは、MCP server connector内のアクティブなツールにのみアクセスできます。

Last updated: