OINを使用して、Okta-SmartHR連携したら、超簡単だった件

セキュリティ事業メニュー

セキュリティ事業
HOME

選ばれる
理由

サービス

取扱メーカー

事例・レポート・
ブログ・用語集

セミナー・
オンデマンド動画

TOP

製品・サービス

製品
- Okta Workforce Identity Cloud
- Okta Customer Identity Cloud

仕様・技術情報

仕様・技術情報
- Workforce Identity Cloud 基本設定動作ガイド
- Customer Identity Cloud (Auth0) 基本設定動作ガイド

ソリューション

ソリューション
- Okta ソリューション－ Oktaの活用によるゼロトラスト

ユーザー事例

サポート

- Macnica Support

セミナー・コンテンツ

資料請求

お問い合わせ

イベント・セミナー

オンデマンド動画

はじめに

突然ですが、本記事をご覧の皆様に質問です。企業のID管理において、従業員の情報をまず格納する場所はどこでしょうか？ADでしょうか？

多くの企業では、人事DBが一般的だと思います。ということは、人事DBとIDaaSを直接連携できれば、従業員の入退社や部署異動などの情報を人事DBからIDaaS、IDaaSからSaaSへいち早く反映し、IDライフサイクル管理やSaaSへのアクセス権の管理をスムーズに行うことができます。

Oktaでは、プロビジョニング連携・シングルサインオン(SSO)のテンプレートであるOkta Integration Network (OIN)に、クラウド人事労務ソフト「SmartHR」のテンプレートが用意されているため、SmartHRをIDソースとした連携が非常に簡単です。

今回はそんなOktaとSmartHRを連携し、SSOとプロビジョニングを実際に設定してみました。これにより、SmartHR→Okta→SaaSへのアカウント管理の自動化や、SmartHRへのSSOを実現できるため、是非最後までご覧ください。

SmartHR→Okta→SaaSのプロビジョニング

本記事では、SmartHRをIDソースとし、下記の構成でプロビジョニングを行います。

Okta-SmartHR のプロビジョニング設定

Oktaには、OINというSaaSとの連携テンプレートが用意されているので、SmartHR連携用のOINを指定し、設定していきます。

1.　Okta管理画面上でSmartHRのテンプレートを選択

2.　SmartHRのアプリ名と、サブドメインを指定

3.　SmartHRとのプロビジョニングを有効にするため、APIを許可

Configure API Integrationをクリック

SmartHRのAuth TokenをOkta上のSmartHRアプリ設定のAPI Tokenへ貼り付け、Saveをクリック

4.　SmartHRにて、アカウントごとのSCIM設定を行う

プロビジョニング設定用項目(属性)の設定

SCIM syncの有効化

5.　SmartHR→Oktaへユーザーを作成する際の、Okta Usernameのフォーマットを設定
※下記設定の場合は、givenName(名)の後に@test.localを付けるフォーマットにしています。Oktaでは、このように自由にUsernameのフォーマットを定義することができます。

6.　SmartHRからOktaへユーザーをインポートし、Okta上にユーザーを作成

Import nowをクリック
※手動でのインポート以外に、事前に定義したスケジュールで定期的にインポートすることも可能です。

Okta上に作成したいユーザーを選択
※上記インポートと同様に、設定に応じて自動で作成することも可能です。

選択したユーザーがOkta上に作成され、Okta上のSmartHRアプリに追加されていることを確認

SmartHR→Okta→SaaSのプロビジョニング設定

本記事では、Google WorkspaceとOktaを連携している前提で、SmartHR→Okta→Google Workspaceのプロビジョニングを行います。

1.　SmartHRからOktaへプロビジョニングしたユーザーを、Okta上のGoogle Workspaceアプリに追加し、連携先Google Workspaceへ当該ユーザーをプロビジョニングする

2.　（従業員の部署異動を想定し、）SmartHRでユーザーの情報(部署)を変更

3.　上図のように、SmartHRでのユーザー情報の変更が、Oktaを通して、Google Workspaceへ自動連携されていることを確認

Okta-SmartHRのSSO連携

1.　SmartHRのSAML SSOを有効化

2.　Okta上で用意されているSSO連携の説明書(SAML Setup Instructions)に記載されている値を、SmartHRのSAML SSO 設定に貼り付け

3.　「SAML SSOアカウントの編集」をクリック後、Okta上のアカウントのUsernameを入力し、「SSOの有効化」にチェック
※下記では、アカウント毎に有効化していますが、CSVファイルを利用して一括で有効化することも可能です。

まとめ

本ブログでは、SmartHRをIDソースとしたSmartHR→Okta→SaaSのプロビジョニング連携と、Okta-SmartHRのSSO連携についてご紹介しました。
Oktaでは、今回ご紹介したSmartHR以外のIDソース(Active DirectoryやCSV Directory等)からも同様に、ユーザーを同期しSaaSへ連携することができます。
今回は、OINを利用したSmartHR連携をご紹介しましたが、次回はOkta Workflowsを利用した柔軟な連携をご紹介します。

ご興味のある方、その他Oktaに関するお問い合わせなどある方は、是非弊社までご連絡ください。

お問い合わせ・資料請求

株式会社マクニカ　 Okta 担当

お問い合わせ資料請求

TEL：045-476-2010
E-mail：okta@macnica.co.jp

月～金 8：45～17：30