Okta
オクタ
概要説明
Oktaのユーザ管理機能説明します。
Oktaのユーザ管理機能
Oktaでは以下3種類のユーザタイプがあります。本章では、Okta-Mastered Peopleの作成方法を説明し、次章でDirectory-Mastered People(AD連携)の方法を説明します。
- Okta-Mastered people
Okta上で作成されたアカウントに紐付けられたユーザ。CSVファイルのインポートで一気に大量に作成も可能。Oktaグループに所属。最低限4つのattributeがある。(first name, last name, username, and email address) - Directory-Mastered people
ADなど外部ディレクトリサービスで作成されOktaへインポートされたアカウントに紐付けられたユーザ。デフォルトでは、Directory-Mastered people はディレクトリパスワードを変更できないが、OktaSuper Administratorはそれを変更できるよう、設定を変更することは可能。Directory-Mastered people はDirectoryユーザプロファイルによって支配されている。よって、ユーザattributeの管理はディレクトリサービス内で行う。また、特定のattributeをディレクトリサービス内ではなくOkta上から管理することも可能。Directory-Mastered people はOktaグループとディレクトリグループ両方に関連づくことができる。 - Application-Mastered people
外部のHRアプリケーション等で作成されOktaへインポートされたアカウントに紐付けられたユーザ。
本機能を使ことのできるサービスの例は以下のリスト。(ADとLDAPはDirectory-Mastered people)
https://help.okta.com/en/prod/Content/Topics/Security/administrators-admin-comparison.htm
Oktaのユーザグループ機能
Oktaのユーザはグルーピングして管理することが可能です。
グルーピングすることで、グループ単位で様々な設定を管理することが可能です。
部署や役割毎にグルーピングすることが一般的となります。
ユーザは複数のグループに所属することが可能です。
ユーザステータス
各ユーザステータスの説明をします。
緑色のステータスは課金対象となる可能性があります。
灰色のステータスは課金対象にはなりません。
| ステータス | 説明 |
| Staged | ユーザ作成後、有効化が未実施であるときのステータス。 |
| Pending user action | ユーザによる有効化未承認のステータス。ユーザ有効化ステップにて、ユーザがアクティベーションメールの有効化リンクをまだクリックしていないか、あるいはパスワードを設定していないときのステータス。 |
| Active |
有効化されている状態。以下ケースでユーザはActiveの状態となる。
|
| Password Reset(Recovery) |
以下ケースでユーザはPassword Resetの状態となる。
|
| Locked out | 設定済みのログイン試み最大回数よりも多くのログイン試みをした場合に、Locked outの状態となる。 |
| Suspended | 管理者がユーザをSuspendに設定したときにSuspendedの状態となる。この状態になってもアプリケーションのアサイン状態への影響はない。 |
| Deactivated(Deprovisioned) | 管理者がユーザを無効化したとき、あるいはプロビジョニングを外したときにDeactivatedの状態となる。この状態になるとアプリケーションのアサインはユーザが削除される。 |
ユーザとグループの作成
Okta上にてユーザ及びグループ作成方法について説明します。
Okta上のユーザ作成方法は手動作成とcsvインポートを説明します。
ユーザ作成(手動)
- Directory>People画面へ遷移
- Add Personをクリック
- 作成するユーザ情報の以下項目を入力し、Saveをクリック
- First name
- Username
- Last name
- Primary email
※PasswordでSet by adminを選択することで、管理者側での一時パスワード設定可能Send user activation email now にチェックを入れることで即時でユーザ有効化
- Primary email宛にメール送信されるので、Activate Okta Accountをクリック
- 新しいパスワード及び秘密の質問を入力し、マイアカウントを作成するをクリック
秘密の質問は、パスワードリセット時に本人確認のための質問です。
秘密の質問を使わない場合には、Okta管理画面のSecurity>Authentication>Passwordタブにてパスワードポリシー内のAdditional self-service recovery option>Security Questionのチェックボックスを外して保存します。
- OKを押し、新規ユーザ作成完了
ユーザ作成(csvインポート)
- Directory>People画面へ遷移
- More Actions>Import Users From CSVをクリック
- this templateをクリック
- テンプレートファイルがダウンロードされ、作成したいユーザの情報を、各行に入力
※デフォルトで必須の情報は、“login”,“firstName”,“lastName”,“email”
- 作成したCSVファイルを“Browse”で指定し、Upload CSVをクリック
- 「CSV file parsed successfully!」と表示されたら、Nextをクリック
- Automatically activate new usersにチェックを入れてImport Usersをクリック
※チェックを入れることにより、自動的にユーザへアクティベーションメールが配信されます
- Doneをクリックすればインポートは完了
グループ作成
- Directory>Groups画面へ遷移
- Add Groupをクリック
- グループ名を入力し、Add Groupをクリック
- 検索ウィンドウにて新規グループ名を抽出し、グループが作成されたことを確認
ユーザをグループへ追加
Oktaにてユーザをグループへ追加する方法について説明します。
Oktaにおいて、ユーザをグループへ追加する方法として、手動追加と自動追加ルールを適用する2種類の方法があり、それぞれ説明します。
ユーザをグループへ追加(手動)
- Directory>Groups画面へ遷移し、該当のグループをクリック
- Manage Peopleをクリック
- 検索ウィンドウにてNot Membersに該当ユーザを表示させ、+をクリック
- Membersに該当ユーザが追加されたことを確認の上で、Saveをクリックし、ユーザ追加完了
ユーザをグループへ追加(ルール適用)
- Directory > Groups画面へ遷移し、RulesタブのAdd Ruleをクリック
- ルール名を記載し、グループに適用する条件を設定し、Add Ruleをクリック
※上記ルールは、User attributeのdepartmentが「Sales」の場合、Salesグループへ追加する
- ルール追加後はInactiveなので、Activateを選択し、Activeにする
- 適用ルールに従い、グループへユーザが追加されたことが確認できれば設定完了
管理者権限の付与
Okta管理画面へログインするユーザには管理者権限を付与する必要があります。その手順を説明します。
管理者権限の付与
- Security>Administrators画面に遷移
- Add Administratorをクリック
※グループ単位で管理者権限を付与する際は、Add Administrator Groupをクリックすることで可能
- アカウントの選択及び割り当てる管理ロールにチェックし、Add Administratorをクリック
※各管理ロールについては、下記のOktaマニュアルを参照してください
https://help.okta.com/en/prod/Content/Topics/Security/administrators-admin-comparison.htm
- 該当ユーザに管理者権限が付与されたことが確認できれば設定完了
お問い合わせ・資料請求
株式会社マクニカ Okta 担当
- TEL:045-476-2010
- E-mail:okta@macnica.co.jp
月~金 8:45~17:30