Org2Orgアプリのプロビジョニングで「Error while trying to push profile update for <user>: You do not have permission to perform the requested action(<user>のプロファイル更新をプッシュしようとした際にエラーが発生しました:リクエストされたアクションを実行する権限がありません)」が発生
Last Updated:
Overview
Org2Orgアプリのプロビジョニングフローが失敗し、ソースOkta orgのダッシュボードに次のエラーが表示されます。
Automatic profile push of user <user> to app Okta Org2Org failed: Error while trying to push profile update for <user>: You do not have permission to perform the requested action(Okta Org2Orgアプリへのユーザー<user>の自動プロファイルプッシュが失敗しました:<user>のプロファイル更新のプッシュ中にエラーが発生しました:リクエストされたアクションを実行する権限がありません)
Applies To
- Org2Orgアプリ
- プロビジョニング
Cause
Org2OrgプロビジョニングAPI呼び出しを行う際に使用された認可に、Oktaユーザープロファイルのターゲットorgでの適切な権限がありませんでした。これの一般的な理由は、ターゲットOktaユーザープロファイルに管理者ロールが割り当てられていて、API認可にスーパー管理者権限がないことです。仕様上、ほかの管理者を変更または更新できるのはスーパー管理者のみです。
2つの異なる構成シナリオの例を次に示します。
- ソースOrg2Orgアプリ統合に保存されているAPIトークンを作成したターゲットorgの管理者アカウントは、「Org管理者」標準ロール権限を持ちます。
- OAuth 2.0で構成された統合では、ロールがターゲットorgのサービスアプリに割り当てられています。これらのロールはデフォルトで推奨される「グループ管理者」および「グループメンバーシップ管理者」の標準ロールです。
Solution
Oktaユーザープロファイルでターゲットorgに必要な変更を加えるための適切なレベルの権限でAPIが承認されていることを確認します。
カスタム管理者ロールを使用している場合は、プロビジョニングに必要な権限がリソースセットによって制限されないように更新します。
ターゲットorgのユーザープロファイルに管理者権限がある場合は、ターゲットorgでスーパー管理者ロール権限が必須になります。SSWS APIトークンを使用していて、Org2Orgで管理者プロファイルを構成できるようにすることが要件である場合は、より高いレベルのセキュリティのためにOAuth 2.0の活用を検討してください。
- 詳細については、「OAuth 2.0を使用した組織間のAPI接続の保護」を参照してください。OAuth 2.0サービスアプリに管理者ロールを割り当てる手順では、スーパー管理者(SUPER_ADMIN)を使用する必要があります。
