[Okta] プロビジョニングの統合ステップ

このガイドでは、App Integration Wizard（AIW）を使用して、QueryPie と Okta 間の SCIM 統合を実装する方法を説明します。この製品の SCIM 機能は、RFC 7643 に基づく SCIM 2.0 標準に従って構築されています。したがって、サードパーティのアイデンティティプロバイダと統合する場合は、このガイドに従って QueryPie から統合に必要な情報を収集してください。

前提条件

• Okta IAM サービスのライフサイクル管理（LCM）ライセンスのサブスクリプションが必要です。

• アプリを作成し、アプリにユーザー/グループを割り当てるための Okta Admin Console へのアクセス。

  • 最低限必要な権限

    • ユーザー

      • ユーザーのアプリケーション割り当ての編集

    • グループ

      • グループのアプリケーション割り当てを編集

    • アプリケーション

      • アプリケーションの管理

• Okta IP range allowlist に https://help.okta.com/en-us/content/topics/securityhttps://help.okta.com/en-us/content/topics/security/ip-address-allow-listing.htm、Okta テナントのIP範囲を特定し、インバウンドトラフィックの例外を許可します。

• ライセンスとともに QueryPie 製品をインストールする必要があります。

• QueryPie Owner または System Admin のロールパーミッションを持つアカウントが必要です。

• プロビジョニングの有効化ステップを最初に完了する必要があります。

統合ステップ

前提条件が完了したら、以下の手順に従って SCIM インテグレーションを実行します。

Okta でカスタム SCIM アプリを作成する

1. 管理者アカウントでOkta サービスにログインします。

2. 右上の管理ボタンをクリックして、管理コンソールにアクセスします。

3. Okta 管理ページで、左側のパネルから [Applications] > [Applications] に移動します。

4. Create App Integrationボタンをクリックします。

5. カスタム SCIM 統合の場合、サインイン方法として SAML 2.0 オプションを選択し、［次へ］をクリックします。

6. General Settings（一般設定）」ステップで、必要に応じて「General Settings（一般設定）」を入力し、下部の「Next（次へ）」ボタンをクリックします。

   1. App name（アプリ名）：識別可能なアプリケーション名を入力する。

   2. App logo（アプリ・ロゴ）：ユーザ識別用のロゴをアップロードする。

7. Configure SAML」ステップで、必要に応じて「SAML Settings」を入力し、下部の「Next」ボタンをクリックする。

   1. シングルサインオン URL: https://{{querypie.domain}}/saml/sp/acs

   2. オーディエンス URI (SP エンティティ ID): https://{{querypie.domain}}/saml/sp/metadata

   3. 属性ステートメント（オプション）：QueryPie URL に必要な属性を以下のように記述する：

      1. Name: firstName
         Name format: Unspecified
         Value: user.firstName

      2. Name: lastName
         Name format: 指定なし
         値: user.lastName

      3. Name: email
         名前のフォーマット: 指定なし
         Value: user.email

      4. Name: loginId
         名前のフォーマット: 指定なし
         Value: user.login

8. Feedbackステップで、I'm an Okta customer adding an internal appを選択し、一番下のFinishボタンをクリックします。

9. アプリケーションを作成したら、上部の「General」タブに移動し、「App Settings」の横にある「Edit」ボタンをクリックします。

10. Provisioning] フィールドで [SCIM]を選択し、[Save]ボタンをクリックします。

11. の「Setting Up QueryPie Application Integration Information in Okta」および「Setting Up Okta Integration and Synchronization in QueryPie」のセクションに従って、SSO 統合を完了します。 Okta統合ガイドに従って、SSO 統合を完了します。

Okta-QueryPieプロビジョニング統合

を完了します。 プロビジョニングの有効化ステップを完了します。

1. Okta で作成した SCIM App のProvisioning タブに移動します。

2. SCIM Connection の横にあるEditボタンをクリックし、以下の値を入力します：

   1. SCIM connector base URL: QueryPie から取得した SCIM Endpoint の値を入力します。

   2. ユーザ用一意識別子フィールド："userName"

   3. サポート・プロビジョニング・アクション：

      • 新規ユーザーのインポートとプロファイルの更新
      • 新規ユーザーのプッシュ
      • プロフィール更新のプッシュ
      • プッシュ・グループ
      • インポートグループ

   4. 認証モード："HTTP Header"

   5. HTTP Header >Authorization: QueryPie から生成された SCIM 固有のアクセストークンを挿入します。

3. Test Connector Configuration（コネクタ構成のテスト）ボタンをクリックして接続テストを実行します。

4. Connector configured successfully（コネクタの構成に成功しました）」というメッセージのポップアップが表示されたら、［Close（閉じる）］ボタンをクリックします。

   

5. 下部にある［保存］ボタンをクリックして接続設定を保存します。

SCIM API の有効化と確認

1. Okta で作成した SCIM App の Provisioning タブのTo App 画面に移動します。

2. Provisioning to Ap pの横にあるEditボタンをクリックします。

3. 以下の設定にチェックを入れて有効にし、[Save]をクリックします：

   1. Create Users: ユーザーが割り当てられたときにアプリにユーザーを追加します。

   2. ユーザー属性の更新：ユーザープロファイルの更新が発生したときに、アプリを更新します。

   3. Deactivate Users（ユーザーを非アクティブにする）：アプリ内のユーザーを非アクティブにします。

4. QueryPie SCIM App Attribute Mappings の下のGo to Profile Editorボタンをクリックします。

5. Attributes（属性）]の下にある[Mappings（マッピング）]ボタンをクリックします。

6. ポップアップで、上部にある2つのタブのうち、「Okta User to {Custom App Name}」と書かれたタブに移動します。

7. カスタム設定に従って項目をマッピングし、下部の［Save Mappings］ボタンをクリックします。

8. 一番下の「Apply updates now」ボタンをクリックします。

   

追加属性の同期

1. QueryPie プロファイルのstaticIpや macAddressのような一部の属性は、SCIM 統合中に個別にインポートされません。これらの属性には以下が含まれます：

   1. secondEmail

   2. 携帯電話

   3. postalAddress (SCIMスキーマに従って "formatted "としてマップします。)

   4. staticIp (QueryPie固有のカスタム属性)

   5. macAddress (QueryPie固有のカスタム属性)

2. これらの属性の詳細も同期する必要がある場合は、Okta のような IdP でカスタム属性を追加し、同期用にマッピングすることができます。[Oktaの例］

   1. SCIM App] > [Provisioning] タブ > [To App] に移動し、下部にある [Go to Profile Editor] をクリックします。

      

   2. Add Attributeボタンをクリックする。

      

   3. 同期に必要な属性を追加する。

      

      1. データ型：QueryPie のように文字列を選択します。

      2. Display name : Oktaで表示する名前を入力。

      3. Variable name → External name : 同期するカスタム属性の変数名を入力します。

         • 変数名はQueryPieのユーザープロファイルで括弧内を確認できます。

           

      4. External namespace : この情報を入力します。

         CODE

         urn:ietf:params:scim:schemas:extension:querypie:2.0:User

      5. 保存]または[保存して別の追加]をクリックして保存します。

      6. 次に、[マッピング]ボタンをクリックします。

         

      7. プロンプトで、一番上の2番目のタブ（Okta → {APP}）を選択します。

         

      8. 新しく作成したカスタム属性をIdPの適切な属性にマッピングし、[Save Mappings]をクリックして設定を保存します。

         

      9. その後、アプリにユーザーを割り当てます。

ユーザプロビジョニングの確認

1. SCIM アプリに戻り、[Assignments]タブの[Assign]ボタンオプションを使用してユーザを割り当てます。

   

   1. Assign to People: 個々のユーザを割り当てます。

   2. Assign to Groups: ユーザのグループを割り当てます。

2. QueryPieアプリに戻り、[Administrator] > [General] > [User Management] > [Users]メニューに移動して、ユーザーが正しくプッシュされていることを確認します。

   

グループプロビジョニングの確認

1. SCIMアプリに戻り、[Push Groups]タブの[Push Groups]ボタンオプションを使用してグループを割り当てます。

   1. Find groups by name: 名前でグループを検索して割り当てます。

   2. Find groups by rule: 検索ルールを定義し、条件を満たすグループを割り当てます。

2. QueryPieアプリに戻り、[Administrator] > [General] > [User Management] > [Groups] に移動して、グループが正しくプッシュされたことを確認します。

Okta などの IdP によって作成された Auth Provider が QueryPie ではない場合、IdP のグループをリンク解除して削除することをお勧めします。QueryPie でグループを削除すると、IdP の管理フローが混乱し、削除したグループ名を製品にプッシュし直すことが困難になる可能性があります。