Okta スポークの設定

リリースバージョン: Xanadu

更新日 2024年08月01日

所要時間：9分

Okta スポークを Okta と統合して、Okta でのさまざまなアクションを自動化します。たとえば、Okta でのユーザーのアクティブ化を自動化することができます。統合するには、API キーまたは OAuth 認証を使用して ServiceNow インスタンスを Okta と接続します。

始める前に

統合ハブサブスクリプションの要求
ServiceNow インスタンスの Okta スポークプラグインのアクティブ化
Okta 開発者ポータルのアカウント
必要なロール：admin

このタスクについて

要件に応じて、API キーまたは OAuth 認証情報を使用してスポークを設定できます。ただし、ServiceNow ドメインに対して一度に使用できるエイリアスは 1 つだけです。

API キーを使用して Okta スポークを設定

API キーを使用して ServiceNow インスタンスと Okta アカウントをデータ連携し、ServiceNow 要求を認証します。

認証を要求するための API キーの生成

Okta の組織または開発者アカウントで API キーを生成して、Okta の開発者または組織のアカウントによって接続レコードを認証できるようにします。

始める前に

Okta の要件：

Okta の組織または開発者アカウント
必要なロール：Okta アドミニストレーター

このタスクについて

API キーを使用すると、Okta の組織または開発者アカウントが ServiceNow インスタンスからのアクセス要求を認証できるようになります。

手順

https://developer.okta.com/login/ にログインします。
左側のパネルで、セキュリティ > API.
[API] ページで、 [トークン] を選択します。
[トークンを作成 (Create token)] を選択します。
[トークンを作成 (Create token)] ウィンドウで、トークンの名前を入力します。
[トークンを作成 (Create token)] を選択します。
トークンが作成されます。
API トークンをコピーし、安全な場所に保存します。
トークンの有効期限に注意してください。

Okta スポークの API キー認証情報レコードの作成

認証情報レコードを、作成した Okta アプリケーションに作成します。Okta スポーク接続および資格情報エイリアスでは、これらの認証情報を使用してアクションを許可します。

始める前に

必要なロール：admin。

手順

移動先すべて > 接続 & 認証情報 > 認証情報.
[新規] を選択します。
[API キー認証情報] を選択します。

フォームに入力します。


フィールド	必要な値
名前	レコードを一意に識別するカスタムの名前です。たとえば、「`Okta 認証情報`」などです。
アクティブ	認証情報レコードをアクティブ化して、Okta アカウントへの接続に使用できるようにします。
API キー	Okta アカウントで `SSWS {API token}` 形式で生成した API トークン。API トークンの生成方法については、「認証を要求するための API キーの生成」を参照してください。
適用先	この認証情報を使用できる MID サーバーです。たとえば、[すべての MID サーバー] を選択します。
順番	この認証情報が Okta API へのアクセスを試行するときに使用される順序 (シーケンス)。番号が小さいほど、この認証情報がリストの上位に表示されます。多くの認証情報を使用する場合、またはログイン試行が 3 回失敗してセキュリティによってユーザーがロックアウトされた場合、認証情報の順序を確立します。すべての認証情報の順序番号が同じ (または順序番号がない) 場合、インスタンスは認証情報をランダムな順序で試行します。たとえば、「`100`」と入力します。
認証情報エイリアス	Okta スポークの認証情報エイリアスで、Okta API への接続時に、ランタイムで解決します。

[送信] を選択します。

Okta スポークの接続レコードの作成

接続レコードを Okta API に作成します。Okta スポーク接続および資格情報エイリアスでは、これらの接続を使用して Okta でアクションを実行します。

始める前に

必要なロール：admin。

手順

移動先すべて > 接続 & 認証情報 > 接続および資格情報エイリアス.
[Okta] のレコードを開きます。
[接続] タブから、[新規] を選択します。

フォームに入力します。


フィールド	必要な値
名前	接続レコードを一意に識別する名前を入力します。たとえば、`Okta 接続`を入力します。
認証情報	Okta 用に作成された認証情報レコードを選択します。たとえば、[Okta 認証情報] を選択します。
接続 URL	Okta の組織 URL を入力します。たとえば、`https://dev-418994.oktapreview.com` を入力します。

[送信] を選択します。

OAuth 認証情報を使用した Okta の設定

Okta にカスタム OAuth アプリケーションを作成して ServiceNow インスタンスと Okta アカウントを統合し、ServiceNow 要求を認証します。

始める前に

Okta 開発者コンソールにアクセスします。
必要なロール：admin

Okta での OAuth アプリケーションの作成

Okta 開発者アカウントでカスタム OAuth アプリケーションを作成し、ServiceNow インスタンスからの要求の OAuth 2.0 認証を有効にします。

始める前に

必要なロール：admin

Okta 開発者または組織アカウントへのアドミニストレーターアクセス

手順

https://developer.okta.com/login/ にログインします。
左側のパネルで、アプリケーション > アプリケーション > .
「アプリケーション」ページで、 [アプリ統合の作成 (Create App Integration)] を選択します。
[アプリ統合の新規作成 (Create a new app integration)] ウィンドウで、[OIDC - OpenID コネクト] を選択します。
選択
- OIDC - OpenID コネクト
- Web アプリケーション
[次へ] を選択します。

フォームに入力します。

表 : 1. 新しい Web アプリの統合
フィールド	説明
アプリ統合名	OAuth アプリケーションのカスタム名です。
ロゴ	OAuth アプリケーションのロゴです。ロゴのアップロードはオプションです。
権限許可タイプ	ビルドしているアプリケーションのタイプに応じて使用する OAuth 2.0 フローのタイプです。適切なオプションを選択する方法については、「https://developer.okta.com/docs/concepts/oauth-openid/#openid-connect」を参照してください。以下のオプションを選択します。認証コードトークンのリフレッシュ暗黙 (ハイブリッド) 暗黙的な許可タイプの ID トークンを許可暗黙的な許可タイプのアクセストークンを許可 (Allow access token with implicit grant type)
サインインリダイレクト URI (Sign-in redirect URIs)	Okta から認証応答と ID トークンを受信する URI です。次の形式で ServiceNow インスタンス URL を入力します： `https://<instance-name>.service-now.com/oauth-redirect.do`
サインアウトリダイレクト URI (Sign-out redirect URIs)	ユーザーセッションをクローズするために Okta に接続する URI です。次の形式で ServiceNow インスタンス URL を入力します： `https://<instance-name>.service-now.com/oauth-redirect.do`
ベース URI	自己ホスト Okta ウィジェットの URI です。ベース URI の指定はオプションです。
制御対象アクセス (Controlled access)	組織内の Okta 統合へのアクセス権を割り当てるオプションです。アクセス権を割り当てるには：組織内の全員にアクセス権を割り当てるには、[組織内の全員にアクセスを許可する (Allow everyone in your organization to access)] を選択します。選択したグループにアクセス権を割り当てるには、[アクセスを選択したグループに制限 (Limit access to selected groups)] を選択し、[選択されたグループ] フィールドにグループ名を入力します。統合後にアクセス権を割り当てるには、[今はグループの割り当てをスキップ (Skip group assignment for now)] を選択します。

[保存] を選択します。
OAuth アプリケーションが作成されます。
Okta API にアクセスするための権限を付与します。
1. [Okta API スコープ (Okta API Scopes)] を選択します。
2. [アクション] で、API の [権限許可] を選択します。
  - okta.users.manage
  - okta.apps.manage
  - okta.logs.read
  - okta.groups.read
  - okta.groups.manage
  - okta.users.read
  - okta.apps.read
  - okta.eventHooks.read
  - okta.eventHooks.manage
  API スコープの詳細については、Okta 開発者向けドキュメントの「許可されたスコープを定義」を参照してください。

Okta の接続レコードの作成

Okta サーバーに接続するための情報を含む接続レコードを作成します。

始める前に

必要なロール：admin。

手順

移動先すべて > Flow Designer > デザイナー.
[Connections (接続)] を選択します。
[送信] タブをオンにします。
[すべての接続を検索] フィールドに「Okta」と入力します。
[Okta スポーク] タイルで、[詳細を表示] を選択します。
[設定] を選択します。

フォームに、これらの値を入力します。

表 : 2. 接続を設定
フィールド	説明
名前	Okta インスタンスとの間で確立された接続の名前最初の接続のデフォルト名は、[接続および資格情報エイリアス] ページの [接続および資格情報] フォームで指定された名前と一致するように自動的に割り当てられます。カスタム名を指定するには、[接続を追加] を選択し、接続を作成します。
接続 URL	Okta サーバーに接続するための URL。URL 形式は https://[yourOktaDomain].com です。
API バージョン	Okta API のバージョン。
認証 URL	Okta の OAuth アプリケーションが Okta リソースサーバーへのアクセス認証を求めるために提供する URL。形式は `https://{youroktadomain}.com/oauth2/{API version}/authorize` です。
トークン URL	アクセストークンを取得するための URL。形式は `https://{youroktadomain}.com/oauth2/{API version}/token` です。
トークン失効 URL	以前に発行されたアクセストークンとリフレッシュトークンの取り消しまたはキャンセルをクライアントアプリケーションが要求できるようにする、OAuth 承認サーバーによって提供される URL。形式は `https://{youroktadomain}.com/oauth2/{API version}/revoke` です。
OAuth クライアント ID	Okta 開発者のアカウントで生成されたクライアント ID。
OAuth クライアントシークレット	Okta 開発者のアカウントで生成されたクライアントのシークレット。
OAuth リダイレクト URL	URL を ServiceNow インスタンスにリダイレクトします。形式は `https://{instance-name}.service-now.com/oauth_redirect.do` です。

[OAuth トークンを設定して取得 (Configure and get OAuth Token)] を選択します。
Okta Spoke に対して OAuth アクセストークンが生成されます。