AIWを使用してSAML統合を作成する

SAML統合では、フェデレーション認証標準を使用して、エンド・ユーザーがSAMLアプリにワンクリックでアクセスできるようにします。AIWにより、SAMLリクエストに必要なXMLが生成されます。

開始する前に

アプリ統合で発生する、インライン指示の問題を回避するには、ブラウザーの設定を開き、常にCookieを使用できるサイトのリストにOktaを追加します。サードパーティーのCookieの許可を参照してください。

タスク1:ウィザードを起動する

  1. 管理コンソールで、[アプリケーション] > に移動します。 [アプリケーション]
  2. [アプリ統合を作成]をクリックします。
  3. SAML統合を作成するには、[サインオン方法]として[SAML 2.0]を選択します。
  4. [次へ]をクリックします。

タスク2:一般設定を構成する

  • [アプリ名]: 統合の名前を指定します。
    Info

    この名前には、UTF-8の3バイト文字のみ使用できます。

  • 任意。[アプリのロゴ]:Okta組織の統合に使用するロゴを追加します。ロゴ・ファイルはPNG、JPG、またはGIF形式で、サイズが1MB未満のものを選択する必要があります。背景が透明で横向きのPNG画像を使用すると、最適な効果を得られます。アップスケールを防ぐために、420 x 120ピクセル以上の解像度を使用してください。
  • [アプリの可視性]:統合をエンド・ユーザーのホーム・ページで非表示にするかどうかを選択します。つまり、エンド・ユーザー・デバイスのOkta Mobile Apps Storeで統合を非表示にするかどうかを選択します。

タスク3:SAML設定を構成する

SAML 2.0構成では、組織と対象アプリを結び付けた情報が必要です。各フィールドの入力に関するヘルプは、アプリ固有のドキュメントとOktaツールのヒントで確認できます。

  • [シングル・サインオンURL]:POST操作でSAMLアサーションが送信される宛先。このURLは必須であり、サービス・プロバイダー(SP)のデフォルトのACS URL値として機能します。IDプロバイダー(IdP)は、サインオン要求を開始するときに、このURLを常に使用します。
    • [受信者URLおよび宛先URLに使用]:受信者URLと宛先URLを同じものにする場合、このチェックボックスをオンにします。
      • [受信者URL]:(前述のチェックボックスがオフの場合に表示されます。)アプリケーションでSAMLアサーションを提示する場所。通常は、シングル・サインオンURL(SSO)と同じものになります。
      • [宛先URL]:(前述のチェックボックスがオフの場合に表示されます。)SAMLアサーションの一部としてSAML応答を送信する宛先。アプリケーションで具体的な値を明示的に指定していない限り、これは[シングル・サインオンURL]と同じものにする必要があります。
    • [このアプリに他のSSO URLへの要求を許可する]:SPが開始するサインイン・フローでの使用を目的としています。このオプションを選択すると、複数のACS URLを構成して、SAML応答の送信先を選択可能なアプリケーションに対応できます。各ACS URLエンドポイントを一意に識別するインデックスまたはURLを指定します。AuthnRequestメッセージにインデックスまたはURLが指定されていない場合、SAML応答は、[シングル・サインオンURL]フィールドで指定したデフォルトのACS URLに送信されます。
      • [要求可能なSSO URL]:(前述のチェックボックスがオンの場合に表示されます。)その他のノードを示すSSO URLを入力します。
  • [対象URI(SPエンティティID)]:SAMLアサーションの対象オーディエンス。通常、アプリケーションのエンティティIDを指定します。
  • [デフォルトのRelayState]:SAMLを使用してSPへのサインインが成功した後にユーザーが移動するページ。有効なURLを指定する必要があります。詳細については、SPのドキュメントを参照してください。
  • [名前IDのフォーマット]:SAML応答で送信するユーザー名のフォーマット。使用する形式についてはSPのドキュメントを参照してください。アプリケーションで形式が明示的に指定されていない場合は、デフォルト値([指定なし])を使用してください。
  • [アプリケーションのユーザー名]:アプリケーションのユーザー名に使用するデフォルト値。
  • 情報

    重要

    セキュリティーを維持するには、エンド・ユーザーが編集可能なフィールドを使用しないでください。

  • [属性ステートメント(オプション)]:新しいSAML統合を作成したり、既存の統合を変更したりする場合、カスタム属性ステートメントを定義できます。これらのステートメントは、アプリと共有するSAMLアサーションに挿入されます。
  • [グループ属性ステートメント(オプション)]:Okta組織でグループを使用してユーザーを分類している場合、アプリと共有するSAMLアサーションにグループ属性ステートメントを追加できます。
  • 情報

    動的SAML機能では、Okta式言語による属性ステートメントの入力方法や処理方法は変更されません。また、この機能により、Okta Integration NetworkのアプリがSAML属性ステートメントを処理できるようになります。以前、属性ステートメントはアプリ統合ウィザードで作成したアプリでのみ使用可能でした。

  • < >[SAMLアサーションのプレビュー]をクリックすると、SAMLアプリ・ウィザードの[SAMLを構成]セクションで生成したXMLを表示できます。

タスク4:フィードバックを構成する

社内でのご利用のみを目的として統合を追加するOktaのお客様は、次の操作を行ってください。

  • [社内アプリを追加しているOktaユーザーです]を選択します。
  • [これは当社で作成した社内アプリです]のチェックボックスをオンにします。SAMLの構成指示を追加してアプリをOktaと連携させる必要がある場合は、[SAMLを有効にするには、ベンダーに問い合わせる必要があります]のチェックボックスをオンにします。Oktaサポート・チームがお客様のSAML構成を把握できるように、表示されているフィールドに必要な情報をご入力ください。
  • [終了]をクリックします。統合がOkta組織に作成されます。
  • 統合の[設定]ページが表示されます。ここでは、任意のパラメーターを変更して、統合をユーザーに割り当てることができます。

お客様がOkta Integration Network(OIN)を自社の統合に追加する独立系ソフトウェア・ベンダーの場合、次の操作を行ってください。

  • [ソフトウェア・ベンダーです。自社のアプリをOktaと統合したいと考えています]を選択します。
  • [終了]をクリックします。統合がOkta組織に作成されます。
  • 統合の[設定]ページが表示されます。ここでは、任意のパラメーターを変更して、統合をユーザーに割り当てることができます。
  • すべての設定を適切に行ったことを確認し、予備テストを完了したら、[アプリを送信してレビューを依頼]をクリックします。OINマネージャーのサイトが開き、OIN送信プロセスが開始されます。

タスク5:署名証明書を管理する

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

SAMLアプリ統合を作成すると、[サインオン]タブに[SAML署名証明書]セクションが表示されます。ここでは、SSOの署名付きSAMLアサーションを検証し、信頼できるIDプロバイダーとしてOktaを指定できるように、アプリ統合を構成する必要があります。

利用可能な証明書が2つ表示される場合があります。その場合、1つはアクティブでもう1つは非アクティブであることにご注意ください、アクティブな証明書はアプリ統合のみを対象にしていますが、非アクティブな証明書は組織全体を対象にしています。アプリのみを対象とする証明書をアクティブのままにしておくことをお勧めします。オプションで、新しい証明書を生成してアクティブ化できます。

SAMLアプリに必要な設定を完了するには、次の手順を実行します。

  1. [アクティブ]にする証明書の[ステータス]を設定します。

    アクティブでない場合は[アクション]メニューの[アクティブ化]で別の証明書を選択するか、[新しい証明書を生成]をクリックして新しい証明書をアクティブ化します。

  2. 重要な注意事項次の手順を実行するまでSSO構成は完了しません。
  3. [SAMLの設定][SAMLの設定手順を表示]をクリックします。

  4. アプリケーションに応じて、次のいずれかを行います。

    • IdP設定をコピーして証明書をダウンロードする
    • アプリケーションがIdPメタデータを処理できる場合は、それらのデータをすべてコピーする

次の手順

統合が想定どおりに動作しない場合は、Oktaサポート(support@okta.com)にお問い合わせください。