Oktaとユーザープロビジョニングの統合方法

Prev Next

Oktaによるユーザープロビジョニングを利用すると、SCIMプロトコルを介してDocuWare内のユーザーライフサイクル管理を自動化できます。Oktaでユーザーやグループを割り当て、または削除すると、その変更は自動的にDocuWareに反映され、手動でのユーザー作成や無効化は不要です。

この統合は2か所で構成します。Okta管理コンソール (SAML/SCIMアプリ統合を作成する場所) と、DocuWare Configurations > 一般 > ユーザープロビジョニング (SCIMを有効化してOktaアプリケーションを登録する場所) です。

UserSyncの現行バージョン (v3) は、次のプロビジョニング機能をサポートしています。

  • ユーザーの自動作成: OktaでDocuWareアプリケーションに割り当てられたユーザーは、DocuWareに自動的に作成されます。

  • 属性の同期: Okta側でユーザー属性 (userName、メール、アクティブステータス) を変更すると、DocuWareに反映されます。

  • ユーザーの無効化: Oktaでユーザーを無効化すると、DocuWare側でも無効として扱われ、ログインできなくなります。

Oktaアプリケーションを構成する

このセクションでは、OktaでSAMLアプリ統合を作成し、その上でSCIMプロビジョニングを有効化する方法について説明します。プロビジョニングタブを解放するためにOktaはSAMLサインイン方式を要求しますが、この方式は実際の認証には使用されません。

  1. Okta組織にログインし、Adminビューを開きます。

  2. Applications > Applications に移動します。

  1. Create App Integration を選択します。

  1. サインイン方式として SAML 2.0 を選択し、Next をクリックします。このサインイン方式は認証には使用されませんが、SCIMプロビジョニングを有効化するために必要です。

  1. General Settings タブで、アプリ名 (例: 「DocuWare SCIM」) を入力し、Next をクリックします。

  1. Configure SAML タブで、Single sign-on URLAudience URI の両方にプレースホルダーURLを入力します。SAMLは実際には使用されないため、入力値自体は重要ではありません。両方のフィールドに http://www.okta.com を入力してかまいません。Next をクリックします。

  1. Feedback タブで This is an internal app that we have created を選択し、Finish をクリックします。

  1. 作成したアプリケーションを開きます。General タブの App SettingsEdit をクリックします。ProvisioningSCIM に設定し、Save をクリックします。

  1. App Embed Link までスクロールし、埋め込みリンク内の /home/ 以降のIDセグメントをコピーします。たとえば埋め込みリンクに /home/trial-5967756_oktascimintegration_1/ が含まれている場合は、trial-5967756_oktascimintegration_1 をコピーします。この値はDocuWareの構成時に必要になります。

Oktaの構成画面は開いたまま、DocuWareの構成に進みます。

DocuWareでユーザープロビジョニングを構成する

  1. DocuWare Configurations > 一般 > ユーザープロビジョニング に移動します。

  2. ユーザープロビジョニングを有効にする オプションを有効にします。

  3. アイデンティティプロバイダー ドロップダウンで Okta を選択します。

  4. アプリケーション登録 ドロップダウンで、既存のアプリケーション登録を選択します。まだ存在しない場合は アプリケーション登録を作成 を選択します。

  1. アプリケーション登録の名前を入力し、次の形式でリダイレクトURLを追加します。

    https://system-admin.okta.com/admin/app/cpc/<OktaAppID>/oauth/callback

    <OktaAppID> をOkta構成の手順9でコピーしたIDに置き換えます。例:
    https://system-admin.okta.com/admin/app/cpc/trial-5967756_oktascimintegration_1/oauth/callback

  1. 作成 をクリックします。

  2. 作成したアプリケーション登録から、次の値をコピーします。

    • アプリケーション (クライアント) ID

    • クライアントシークレット

  1. 保存 をクリックします。

  2. ユーザープロビジョニングページから、次のエンドポイントURLをコピーします。Oktaのプロビジョニング構成で必要になります。

    • SCIM connector base URL

    • 認可エンドポイント

    • Access token endpoint URI

Oktaのプロビジョニング構成を完了する

  1. Oktaアプリケーションに戻ります。Provisioning タブで Integration を開き、Edit をクリックします。次の値を入力します。

    • SCIM connector base URL: DocuWareで取得したSCIM connector base URLを貼り付けます。

    • Unique identifier field for users: 「userName」と入力します。

    • Supported provisioning actions: Import New Users and Profile UpdatesPush New UsersPush Profile Updates、および Push Groups を選択します。

    • Authentication Mode: OAuth 2 を選択します。

    • Authorization endpoint URI: DocuWareの認可エンドポイントを貼り付けます。

    • Access token endpoint URI: DocuWareのAccess token endpoint URIを貼り付けます。

    • Client ID: DocuWareの アプリケーション (クライアント) ID を貼り付けます。

    • Client Secret: DocuWareのクライアントシークレットを貼り付けます。

  1. Save をクリックします。続いて Integration タブに戻り、ページ下部の認証ボタンをクリックしてトークンを生成します。プロンプトが表示されたらDocuWareの管理者資格情報を入力します。トークンが正常に生成されると、確認メッセージが表示されます。

  1. Provisioning タブの下に、新しい To App セクションが表示されます。Provisioning to AppEdit をクリックし、Create UsersUpdate User Attributes、および Deactivate Users を有効にします。Save をクリックします。

  1. Attribute Mappings までスクロールし、Go to Profile Editor をクリックします。

  1. Profile EditorMappings を選択します。

  1. 次のユーザープロファイルのマッピングを構成します。その他のマッピングはすべて Do not map に設定します。

    • appuser.givenName → firstName

    • appuser.familyName → lastName

    • appuser.email → email

    不要なマッピングをすべて削除したら、Save Mappings をクリックします。

  1. Okta User to App タブに切り替え、同じ手順でマッピングを整理します。

  1. Profile Editorから、UsernameGiven nameFamily namePrimary email 以外の属性をすべて削除します。

これでプロビジョニング構成は完了です。

ユーザーをプロビジョニングする

個別のユーザーをプロビジョニングするには、次の手順に従います。

  1. Oktaアプリケーションを開き、Assignments タブに移動します。

  2. Assign > Assign to People を選択し、プロビジョニング対象のユーザーを割り当てます。

  1. プロビジョニングされたユーザーが DocuWare Configurations > ユーザー管理 に表示されることを確認します。

グループとそのメンバーをプロビジョニングする

グループ全体をメンバーごとプロビジョニングするには、次の手順に従います。

  1. Oktaアプリケーションを開き、Assignments タブに移動します。

  2. Assign > Assign to Groups を選択し、プロビジョニング対象のグループを割り当てます。グループのすべてのメンバーが自動的に含まれます。

  1. Push Groups タブに移動します。Push Groups > Find groups by name を選択し、グループ名を入力します。Push group membership immediately を選択したままにし、Create Group を選択します。

  1. DocuWareでグループとそのメンバーを確認します。

グループプロビジョニングの仕組み

グループの同期動作を理解しておくと、Oktaでグループを作成・名前変更・更新したときに何が起きるかを予測しやすくなります。

  • グループのマッチング: システムはDocuWare内で表示名の一致するグループを検索します。一致が見つかった場合は、そのグループが更新されます。見つからない場合は、新しいグループが作成されます。

  • メンバーの保持: 既存のグループが更新されると、新しいメンバーが追加され、既存のメンバーはそのまま残ります。メンバーの重複は自動的に防止されます。

  • 初回同期以降はIDベースでマッピング: 初回同期以降、グループは表示名ではなく内部IDで突き合わせられます。Oktaでグループ名を変更すると、IDによって既存のDocuWareグループと突き合わせられ、それに応じて名前が更新されます。既存のメンバーは削除されません。