はじめに
皆様、こんにちは!
ネットワールド SEの福村です。
今回はOkta Org2Orgを用いてOktaテナント間でカスタム属性を同期する検証ブログになります。Oktaに限らずActive Directory等で属性を用いてユーザーやグループを管理することはよくあるかと思います。今回は以前の検証で用意したHub&Spoke構成の環境でSpoke側でカスタム属性を追加し、Hub側に属性が同期されるか確認したいと思います。
Okta Org2Orgの内容や検証環境の詳しい構成については以下のブログをご確認下さい。
検証概要
- 環境
Oktaテナントを2つ用意 A:Spokeテナント、B:Hubテナント
Okta Org2Orgを介して、AからBのテナントへ連携済 - やりたいこと
以前の検証で構成したOkta Org2Orgアプリケーションを用いてAのテナントで作成したカスタムの属性をBのテナントへ同期したい
Aのテナントにカスタム属性(TestAttribute)を追加し、Bのテナントへ同期させます。マッピングとしては以下のような形になります。
- テナントA
Okta デフォルトユーザープロファイル→Okta Org2Orgユーザープロファイル - テナントB
Okta Org2Org(IDプロバイター)ユーザープロファイル→ Okta デフォルトユーザープロファイル
※Oktaテナント間はOkta Org2Orgで同期済前提
※テナントBではOrg2Orgアプリから同期を受ける窓口は構成した際に追加したSAMLのIDプロバイターになる。
手順概要
Hub側
- カスタム属性追加(Okta デフォルトユーザープロファイル)
- カスタム属性追加(Okta Org2Orgユーザープロファイル)
- Org2Orgアプリでのマッピング設定
Spoke側
- カスタム属性追加(Okta デフォルトユーザープロファイル)
- カスタム属性追加(Okta Org2Orgユーザープロファイル)
- Org2Orgアプリでのマッピング設定
動作確認
設定手順(Hub側)
カスタム属性追加(Okta デフォルトユーザープロファイル)
Profile Editorの属性のメニューからHub側の既定のユーザープロファイルにカスタム属性を追加します。
カスタム属性追加(Okta Org2Orgユーザープロファイル)
Profile Editorの属性のメニューからHub側のOrg2Orgアプリ(IDプロバイダー)のユーザープロファイルにカスタム属性を追加します。
Org2Orgアプリでのマッピング設定
Okta Org2Org(IDプロバイター)ユーザープロファイル→ Okta デフォルトユーザープロファイルの形で属性をマッピングします。
Profile Editorのマッピングメニューから「Okta Org2OrgからOkta User」を選択します。
属性の一覧から追加したカスタム属性をマッピングし、保存します。
設定手順(Spoke側)
カスタム属性追加(Okta デフォルトユーザープロファイル)
Hub側と同様に既定のユーザープロファイルにカスタム属性を追加します。
カスタム属性追加(Okta Org2Orgユーザープロファイル)
Profile EditorのOkta Org2Orgユーザープロファイルの属性のメニューから属性リストを更新を選択、表示されたカスタム属性を追加します。
Org2Orgアプリでのマッピング設定
Okta デフォルトユーザープロファイル→Okta Org2Orgユーザープロファイルの形で属性をマッピングします。
Profile Editorのマッピングメニューから「Okta UserからOkta Org2Org」を選択します。
属性の一覧から追加したカスタム属性をマッピングの上、保存し更新を適用します。
動作確認
Spoke側のカスタム属性に値を記入して、Hub側に同期されるか確認します。
※アカウントはJITでHub側に既に生成されています。
Hub側で属性が更新されていることを確認できました。
今回の環境では追加した属性は即時更新されます。
理由として、アプリケーションの設定で以下の設定箇所を有効にすることで自動更新が実施されているためです。
免責事項
- 本ブログ(以降:本書)の記載にあたりまして、細心の注意を払っておりますが、正確性・完全性を保証するものではありません。
- 本書の利用によって生じたあらゆる損害に関して、一切の責任を負いかねます。
