「HRBrain」が OINに登録、SAMLとSCIM両方の連携で活用の幅が拡大
2025年3月28日に発表しました通り、株式会社HRBrainが提供する「HRBrain」がOkta Workforce Identityのアプリケーションカタログである「Okta Integration Network(OIN)」に登録されました。今回の登録では、SAML連携だけでなく、SCIM連携も同時に発表となりました。これによりOktaとHRBrainをご利用中の企業は、活用の幅が大きく拡大します。
そこで今回は、この連携により具体的にどのように活用できるのかをご紹介したいと思います。特にSCIM連携ではOktaの特徴のひとつであるプロファイルソーシング機能にも対応しました。設定方法や活用例についてもあわせて解説します。
目次
HRBrainとOktaの設定方法
HRBrainのアプリケーションカタログは、Oktaの他のアプリケーション同様にAdmin Consoleから検索可能です。[アプリケーション] -> [アプリケーション] -> [アプリカタログを参照] と選択し、検索フィールドに「HRBrain」と入力することで追加できます。
カタログを選択するとウィザードが表示され、HRBrainのサブドメインを入力するだけで、Okta側のSAML設定は完了します。
アプリケーションの[サインオン]タブには[SAMLの設定手順を表示]とありますので、クリックすることでHRBrain社でご用意いただいているSAMLの設定手順書を参照できます。この手順に従ってHRBrain側のSAML設定を行います。
OINカタログにより、簡単にSAMLの設定を完了することが出来ました。アプリケーションにユーザーを割り当てることで、対象ユーザーはシングルサインオンが可能になります。
次に、SCIMによるプロビジョニングの設定も簡単に行うことができます。[プロビジョニング]タブに構成ガイドのリンクがありますので、HRBrain社でご用意された手順書に従って、HRBrainのトークンを取得し、Oktaに設定します。
次に、[API資格情報をテスト] を実行し、成功を確認します。なお、グループのインポートには未対応のためチェックを外し、[保存]をクリックすることで設定完了です。
SCIM連携:OktaからHR BrainOkta
SCIM連携により、OktaからHRBrainユーザーのプロビジョニングが可能になります。具体的なユースケースとしては、Active Directoryなどの外部のID源泉からOkta上に社員の情報が集約されている場合は、OktaでユーザーをHRBrainアプリケーションに割り当てることで、プロビジョニングが実行され、即座にユーザーはHRBrainが利用可能になります。アプリケーションへの割当は、グループルール等で自動化することが可能です。
設定は[アプリへ]の部分から各連携項目を[有効化]し、[保存]します。
また、[ユーザーの非アクティブ化] にチェックを入れることにより、Okta上でアプリケーションの割当が解除された際には、HRBrainのアカウントの非アクティブ化も直ちに反映することが出来ます。これにより、アクセス権の解除忘れ、漏れを防止することが出来ます。
SCIM連携:HRBrainからOkta
SCIM連携により、HRBrainからOktaへのユーザープロビジョニングも可能になります。例えば、新入社員を受け入れる際には、HRBrainに新たにユーザー追加がされると、そのユーザー情報をもとにOktaのユーザーを自動作成することができます。Oktaと連携する他のアプリケーション、例えばMicrosoft Office 365、Google Workspace、Salesforce(ダウンストリームアプリケーション)などに対して、Oktaでプロビジョニング設定がされている場合は、HRBrainへユーザーを追加しOktaにインポートすることで、直ちにダウンストリームアプリケーションのプロビジョニングを自動実行し、利用可能になります。
以下の例では、HRBrainからOktaへのインポート作業を自動化し、1日1回定期実行を行っています。
また、この際にプロファイルソーシング機能を有効化することでHRBrainをID源泉、マスターデータベースとして管理し、HRBrainのユーザーステータスをOktaに反映することが可能になります(マスタリング)。
これにより、HRBrainをマスターとしてOktaのプロファイルを管理することとなり、Oktaのユーザー属性は読み取り専用となります(属性に応じて変更することは可能)。HRBrain側で属性の変更があった際には、Oktaにインポートすることで、Oktaのユーザープロファイルと同期します。
プロファイルソーシング機能を利用すると、HRBrain側で[在籍状況]が[退職済み]とされている場合、そのユーザーステータスがOktaに同期され、Oktaのユーザーアカウントもあわせて停止します。それと同時に、プロビジョニングを設定している各ダウンストリームアプリケーションのアカウントの無効化が自動で実行されます。 
現在、HRBrainで対応しているSCIM属性は、userName、givenName、familyName、email、emailTypeの5種類となります。HRBrainにある主部署、主職種、役職・職位、雇用形態などの各種属性をOktaに反映するためには、HRBrain側のAPIを活用する必要があります。HRBrain開発者向けサイトからAPI公開ドキュメントが確認可能です。このHRBrainのAPIを活用することでOkta Workflowsで自動化し、Oktaへの属性反映を実装することも可能です。
おわりに
今回は、HRBrainのOIN登録にあたっての具体的な連携方法や、それによるメリットについてご紹介しました。すでにHRBrainとOktaをご利用中のお客様、あるいはご検討中のお客様は、ぜひこのインテグレーションをご活用ください。
Okta Japanでは、ソフトウェア開発ベンダー(ISV)製アプリケーションのOINへの登録を積極的にご支援しております。OINに登録されると、Okta利用中の世界中のお客様がOINカタログを活用し、インテグレーションの幅を広げることが可能となります。登録、申請方法についてはOkta Japanでご支援可能ですので、担当営業までご相談ください。
Follow 南野 要
