SAMLアプリ統合を作成する

SAML統合では、連携認証標準を使用して、エンド・ユーザーがSAMLアプリにワンクリックでアクセスできるようにします。App Integration Wizard(AIW)により、SAMLリクエストに必要なXMLが生成されます。

開始する前に

アプリ統合でのインライン指示の問題を回避するには、ブラウザーの設定を開き、常にクッキーを使用できるサイトのリストにOktaを追加します。「サードパーティクッキーを許可する」を参照してください。

タスク1:ウィザードの起動

  1. Okta Admin Consoleで、[Applications(アプリケーション)]>[Applications(アプリケーション)]に移動します。
  2. [Create App Integration(アプリ統合の作成)]をクリックします。
  3. [Sign on methods(サインオン方法)]として[SAML 2.0]を選択します。
  4. [Next(次へ)]をクリックします。

タスク2:一般設定を構成する

  • [App name(アプリ名)]:UTF-8の3バイト文字を使用して統合の名前を指定します。
  • [App logo(アプリのロゴ)]:任意。Okta orgの統合に使用するロゴを追加します。ロゴのファイルはPNG、JPG、GIF形式のいずれかで、1MB未満である必要があります。背景が透明で横向きのPNG画像を使用すると、最適な効果を得られます。アップスケールを防ぐために、420 x 120ピクセル以上の解像度を使用してください。
  • [App visibility(アプリの可視性)]:統合をエンド・ユーザーのホーム・ページで非表示にするかどうかを選択します。つまり、エンドユーザー・デバイスのOkta Mobile Apps Storeで統合を非表示にするかどうかを選択します。

タスク3:SAML設定を構成する

SAML 2.0構成では、orgと対象アプリを結び付けた情報が必要です。各フィールドの入力に関するヘルプは、アプリ固有のドキュメントとOktaツールのヒントで確認できます。

  • [Single sign on URL(シングル・サインオンURL)]:POST操作でSAMLアサーションが送信される宛先。このURLは必須であり、サービス・プロバイダー(SP)のデフォルトのAssertion Consumer Service(ACS)URL値として機能します。IDプロバイダー(IdP)は、サインオンリクエストを開始するときに、このURLを常に使用します。
    • [Use this for Recipient URL and Destination URL(受信者のURLおよび移動先URLに使用)]:受信者のURLと移動先URLを同じものにする場合、このチェックボックスをオンにします。
      • [Recipient URL(受信者のURL)]:(前述のチェックボックスがオフの場合に表示されます。)アプリケーションでSAMLアサーションを提示する場所。これは通常、シングルサインオン(SSO)URLです。
      • [Destination URL(宛先URL)]:(前述のチェックボックスがオフの場合に表示されます。)SAMLアサーションの一部としてSAMLレスポンスを送信する宛先。アプリケーションで具体的な値を明示的に指定していない限り、これは[Single sign on URL(シングルサインオンURL)]と同じものにする必要があります。
  • [Audience URI (SP Entity ID)(対象URI(SPエンティティID))]:SAMLアサーションの対象オーディエンス。これは通常、アプリケーションのエンティティIDです。
  • [Default RelayState(デフォルトのRelayState)]:SAMLを使用してSPへのサインインが成功した後にユーザーが移動するページ。有効なURLを指定する必要があります。詳細については、SPのドキュメントを参照してください。
  • [Name ID format(名前IDフォーマット)]:SAMLレスポンスで送信するユーザー名のフォーマット。使用する形式についてはSPのドキュメントを参照してください。アプリケーションで形式が明示的に指定されていない場合は、デフォルト値([Unspecified(指定なし)])を使用してください。
  • [Application username(アプリケーションのユーザー名)]:アプリケーションのユーザー名に使用するデフォルト値。
  • セキュリティを維持するには、エンドユーザーが編集可能なフィールドを使用しないでください。

  • [Attribute Statements (option)(属性ステートメント(オプション))]:SAML統合を作成したり、既存の統合を変更したりする場合、カスタム属性ステートメントを定義できます。これらのステートメントは、アプリと共有するSAMLアサーションに挿入されます。
  • [Group Attribute Statements (optional)(グループ属性ステートメント(オプション))]Okta orgでグループを使用してユーザーを分類している場合、アプリと共有するSAMLアサーションにグループ属性ステートメントを追加できます。
  • 動的SAML機能では、Okta式言語による属性ステートメントの入力方法や処理方法は変更されません。この機能により、SAML属性ステートメントをOkta Integration Network内のアプリで処理できるようになります。以前は、App Integration Wizardを使用して作成されたアプリでのみ属性ステートメントを使用できました。

  • [< > Preview the SAML Assertion(< > SAMLアサーションのプレビュー)]をクリックすると、SAMLアプリウィザードの[Configure SAML(SAMLを構成)]セクションで生成したXMLを表示できます。

タスク4:フィードバックを構成する

社内でのご利用のみを目的として統合を追加するOktaのお客様は、次の操作を行ってください。

  • [I'm an Okta customer adding an internal app(社内アプリを追加するOktaユーザーです)]を選択します。
  • [This is an internal app that we have created(これは当社で作成した社内アプリです)]を選択します。SAMLの構成指示を追加してアプリをOktaと連携させる必要がある場合は、[It's required to contact the vendor to enable SAML(SAMLを有効にするには、ベンダーに問い合わせる必要があります)]を選択します。Oktaサポートチームがお客様のSAML構成を把握できるように、表示されているフィールドに必要な情報をご入力ください。
  • [Finish(終了)]をクリックします。Okta orgに統合が作成されます。
  • 統合の[Settings(設定)]ページが表示されます。ここでは、任意のパラメーターを修正して、統合をユーザーに割り当てることができます。

お客様が自社の統合をOkta Integration Network(OIN)に追加する独立系ソフトウェアベンダーの場合、次の操作を行ってください。

  • [I'm a software vendor. I'd like to integrate my app with Okta(ソフトウェアベンダーです。自社のアプリをOktaと統合したいと考えています)]を選択します。
  • [Finish(終了)]をクリックします。Okta orgに統合が作成されます。
  • 統合の[Settings(設定)]ページが表示されます。ここでは、任意のパラメーターを変更して、統合をユーザーに割り当てることができます。
  • すべての設定を適切に行ったことを確認し、予備テストを完了したら、[Submit your app for review(アプリを送信してレビューを依頼)]をクリックします。OINマネージャーのサイトが開き、OIN送信プロセスが開始されます。

タスク5:署名証明書を管理する

SAMLアプリ統合を作成すると、[Sign On(サインオン)]タブに[SAML Signing Certificates(SAML署名証明書)]セクションが表示されます。ここでは、SSOの署名付きSAMLアサーションを検証し、信頼できるIDプロバイダーとしてOktaを指定できるように、アプリ統合を構成する必要があります。

利用可能な証明書が2つ表示される場合があります。その場合、1つはアクティブでもう1つは非アクティブであることにご注意ください、アクティブな証明書はアプリ統合のみを対象にしていますが、非アクティブな証明書はorg全体を対象にしています。アプリのみを対象とする証明書をアクティブのままにしておくことをお勧めします。オプションで、新しい証明書を生成してアクティブ化できます。

SAMLアプリに必要な設定を完了するには、次の手順を実行します。

  1. [Active(アクティブ)]にする証明書の[Status(ステータス)]を設定します。

    アクティブでない場合は[Actions(アクション)]メニューの[Activate(アクティベート)]で別の証明書を選択するか、[Generate new certificate(新しい証明書を生成)]をクリックして新しい証明書をアクティブにします。

  2. 次の手順を実行するまでSSO構成は完了しません。

  3. [SAML Setup(SAMLの設定)]で、[View SAML setup instructions(SAMLの設定手順を表示)]をクリックします。

  4. アプリケーションに応じて、次のいずれかを行います。

    • IdP設定をコピーして証明書をダウンロードする
    • アプリケーションがIdPメタデータを処理できる場合は、それらのデータをすべてコピーする

次の手順

統合が想定どおりに動作しない場合は、Oktaサポートにお問い合わせください。