AIWを使用してSAML統合を作成する

SAML統合では、フェデレーション認証標準を使用して、エンドユーザーがSAMLアプリにワンクリックでアクセスできるようにします。AIWにより、SAMLリクエストに必要なXMLが生成されます。

開始する前に

アプリ統合でのインライン指示の問題を回避するには、ブラウザの設定を開き、常にクッキーを使用できるサイトのリストにOktaを追加します。サードパーティ クッキーを許可するを参照してください。

タスク1:ウィザードの起動

  1. 管理コンソールで、[アプリケーション] > に移動します。 [Applications(アプリケーション)]に移動します。
  2. [Create App Integration(アプリ統合の作成)]をクリックします。
  3. SAML 統合を作成するには、[Sign-on method(サインオン方法)]として[SAML 2.0]を選択します。
  4. [Next(次へ)]をクリックします。

タスク2: 初期設定の構成

  • [アプリ名]: 統合の名前を指定します。
    Info

    この名前には、UTF-8の3バイト文字のみ使用できます。

  • 任意。[アプリのロゴ]:Okta組織の統合に使用するロゴを追加します。ロゴ・ファイルはPNG、JPG、またはGIF形式で、サイズが1MB未満のものを選択する必要があります。背景が透明で横向きのPNG画像を使用すると、最適な効果を得られます。アップスケールを防ぐために、420 x 120ピクセル以上の解像度を使用してください。
  • App visibility(アプリの可視性) — エンドユーザーのホームページで統合を非表示にするかどうかを選択します。つまり、エンドユーザーデバイスのOkta Mobile Apps Storeで統合を非表示にするかどうかを選択します。

タスク3: SAML設定の構成

SAML 2.0構成では、組織と対象アプリを結び付けた情報が必要です。各フィールドの入力に関するヘルプは、アプリ固有のドキュメントとOktaツールのヒントで確認できます。

  • Single sign on URL(シングルサインオンURL) — POST操作でSAMLアサーションが送信される宛先。このURLは必須であり、サービスプロバイダー(SP)のデフォルトのACS URL値として機能します。IDプロバイダー(IdP)は、サインオン要求を開始するときに、このURLを常に使用します。
    • Use this for Recipient URL and Destination URL(受信者URLおよび宛先URLに使用) — 受信者URLと宛先URLを同じものにする場合、このチェックボックスをオンにします。
      • Recipient URL(受信者URL) — (前述のチェックボックスがオフの場合に表示されます。)アプリケーションでSAMLアサーションを提示する場所。これは通常、シングルサインオン(SSO)URLです。
      • Destination URL(宛先URL) — (前述のチェックボックスがオフの場合に表示されます。)SAMLアサーションの一部としてSAML応答を送信する宛先。アプリケーションで具体的な値を明示的に指定していない限り、これは[Single sign on URL(シングルサインオンURL)]と同じものにする必要があります。
    • Allow this app to request other SSO URLs(このアプリに他のSSO URLへの要求を許可する) — SPが開始するサインインフローでの使用を目的としています。このオプションを選択すると、複数のACS URLを構成して、SAML応答の送信先を選択可能なアプリケーションに対応できます。各ACS URLエンドポイントを一意に識別するインデックスまたはURLを指定します。AuthnRequestメッセージにインデックスまたはURLが指定されていない場合、SAML応答は、Single sign on URLフィールドで指定したデフォルトのACS URLに送信されます。
      • Requestable SSO URLs(要求可能なSSO URL) — (前述のチェックボックスがオンの場合に表示されます。)その他のノードを示すSSO URLを入力します。
  • Audience URI (SP Entity ID)(オーディエンスURI(SPエンティティID)) — SAMLアサーションの対象オーディエンスです。これは通常、アプリケーションのエンティティIDです。
  • Default RelayState(デフォルトのRelayState) — SAMLを使用してSPへのサインインが成功した後にユーザーが移動するページです。有効なURLを指定する必要があります。詳細については、SPのドキュメントを参照してください。
  • Name ID format(名前IDの形式) — SAML応答で送信するユーザー名の形式。使用する形式についてはSPのドキュメントを参照してください。アプリケーションで形式が明示的に指定されていない場合は、デフォルト値(Unspecified)を使用してください。
  • Application username(アプリケーションのユーザー名) — アプリケーションのユーザー名に使用するデフォルト値。
    • 情報

    重要

    セキュリティ維持のために、エンドユーザーが編集可能なフィールドを使用しないでください。

    • Response(応答)[Signed(署名済み)] または[Unsigned(未署名)]を選択して、SAML認証の応答メッセージにIdPによるデジタル署名を行うかどうかを指定します。
    • Assertion Signature(アサーション署名)[Signed(署名済み)] または[Unsigned(未署名)]を選択して、SAMLアサーションにデジタル署名を行うかどうかを指定します。
    • Signature Algorithm(署名アルゴリズム) — SAMLアサーションおよび応答にデジタル署名するために使用される署名アルゴリズムを決定します。
    • Digest Algorithm(ダイジェストアルゴリズム) — SAMLアサーションおよび応答にデジタル署名するために使用されるダイジェストアルゴリズムを決定します。
    • Assertion Encryption(アサーション暗号化) — SAMLアサーションを暗号化するかどうかを指定します。

      [Assertion Encryption(アサーション暗号化)] 設定で[Encrypted(暗号化する)] を選択すると、次の3つのオプションが表示されます。

      • Encryption Algorithm(暗号化アルゴリズム) — SAMLアサーションの暗号化に使用する暗号化アルゴリズムを選択します。
      • Key Transport Algorithm(キー転送アルゴリズム) — SAMLアサーションの暗号化に使用するキー転送アルゴリズムを選択します。
      • Encryption Certificate(暗号化証明書) — SAMLアサーションの暗号化に使用する公開鍵証明書を参照して[Upload Certificate(証明書をアップロード)] をクリックし、証明書をアップロードします。
        • 情報

        証明書ファイルの拡張子は.cerである必要があります。

    • Enable Single Logout(シングルログアウトを有効化) — ユーザーが構成済みカスタムアプリとOktaの両方からシングルクリックでサインアウトできます(ただし、開いている可能性があるその他のアプリからはログアウトできません)。詳細については、『Profiles for the OASIS Security Mark Up Language (SAML) version 2.0』ガイドの「Single Logout Profile」を参照してください。
      • [Enable Single Logout(シングルログアウトを有効化)]を指定すると、次の3つのオプションを利用できます。
        • Single Logout URL(シングルログアウトURL) — サインアウト応答の送信先を指定します。
        • SP Issuer(SP発行者) — サービスプロバイダーの発行者です。
        • Signature Certificate(署名証明書) — デジタル署名の検証に使用される公開鍵証明書を決定します。証明書を参照して、[Upload Certificate(証明書をアップロード)]をクリックします。シングルログアウト機能を適切に動作させるには、証明書をアップロードする必要があります。
        情報

        SAMLシングルログアウトを構成済みの場合、SAML 2.0の設定手順に[Identity Provider Single Logout URL(IDプロバイダーのシングルログアウトURL)] のフィールドが表示されます。

    • Authentication context class(認証コンテキストクラス) — 認証制限のタイプを表します。通常はデフォルトのPasswordProtectedTransportを設定します。詳細については、SPのドキュメントを参照してください。
    • オプションです。Honor Force Authentication(強制認証に準拠)[Yes(はい)]が選択されていると、SAML要求のForceAuthn属性がtrueに設定されている場合、ユーザーは、Oktaにサインイン済みであっても資格情報の入力を求められます。デスクトップSSOによって正常にサインインしたユーザーも、資格情報を入力する必要があります。このオプションが[No(いいえ)]に設定されている場合、この属性は無視されます。
    • オプションです。SAML Issuer ID(SAML発行者ID) — 発行者IDを上書きする必要がある場合にこのオプションを使用します。1つのアプリケーションで複数のサインインを行う場合、上書きが必要です。このオプションは、追加の属性を必要とする統合がある場合にも使用できます。デフォルト値のhttp://www.okta.com/$(org.externalKey)を上書きする発行者IDを入力します。[External Key(外部キー)] は、現在動作しているアプリケーションインスタンスの設定手順から取得します。
  • Attribute Statements (optional)(属性ステートメント(オプション)) — 新しいSAML統合を作成したり、既存の統合を変更する場合、カスタム属性ステートメントを定義できます。これらのステートメントは、アプリと共有するSAMLアサーションに挿入されます。

    [Attribute Statements (optional)(属性ステートメント(オプション))]セクションの各SAMLアサーションには、次の要素があります。

    • Name(名前) — アプリケーションが必要とする属性の参照名。このフィールドの最大文字数は512文字です。Name属性は、ユーザーとグループの属性ステートメント全体で一意である必要があります。
    • Name Format(名前の形式) — アプリケーションにName属性を付与するときの形式です。次の形式を使用できます。
      • Unspecified(指定なし) - Oktaプロファイルで定義している任意の形式を使用できます。ただし、アプリケーションが解釈できる必要があります。
      • URI Reference(URI参照) - 名前をUniform Resource Identifierの文字列で指定します。
      • Basic(基本) - 単純な文字列。その他の形式が指定されていない場合のデフォルト設定。
    • Value(値)Name要素で定義する属性の値です。Okta式言語を使用したカスタム式を作成して、Oktaユーザープロファイルの値を参照できます。このフィールドの最大文字数は1024文字です。
    • [Add Another(別途追加)]をクリックすると、ステートメント行を追加できます。
    • 必要な属性定義が完了するまでこの手順を繰り返します。

    属性ステートメントを追加してSAML統合を作成したら、プロファイルエディターを使用してプロファイルを更新する必要があります。

    • 管理コンソールで、[ディレクトリー] > に移動します [Profile Editor(プロファイルエディター)]で、作成した統合を見つけます。[Profile(プロファイル)]をクリックします。
    • [Attributes(属性)]画面が開くので、[Add Attribute(属性を追加)]をクリックします。
    • 新しい属性を追加して、[Save(保存)]をクリックします。
    • 管理コンソールで、[アプリケーション] > に移動します。 [Application(アプリケーション)]でアプリ名をクリックします。
    • 開いた画面で、[General(一般)]タブをクリックします。次に、[SAML Settings(SAML設定)]セクションの[Edit(編集)]をクリックします。
    • 開いた画面で、[Next(次へ)]をクリックします。
    • [Attribute Statements (Optional)(属性ステートメント(オプション))]セクションに、手順3で作成した属性の名前を入力します。この値はドロップダウンボックスに自動的に入力されません。Valueに、appuser、ピリオド、属性名の順で入力します。たとえば、属性の名前がNewRoleの場合、Valueはappuser.NewRoleになります。
    • 完了したら、[Next(次へ)]をクリックします。
    • [Applications(アプリケーション)]ページで統合の名前をクリックしてから、[Assignments(割り当て)]タブをクリックします。[Assign(割り当て)]をクリックして、[Assign to Groups(グループに割り当て)]を選択します。そのウィンドウで、グループの右側にある[Assign(割り当て)]をクリックします。これらの割り当てはSAMLトレーサーで検証できます。
  • Group Attribute Statements (optional)(グループ属性ステートメント(オプション)) — Okta組織でグループを使用してユーザーを分類している場合、アプリと共有するSAMLアサーションにグループ属性ステートメントを追加できます。

    [Group Attribute Statements (optional)(グループ属性ステートメント(オプション))]セクションで次の操作を行います。

    • SAMLアプリで使用するグループ属性の[Name(名前)]を入力します。
    • [Name Format(名前のフォーマット)]を選択します。
    • 式のフィルタリングオプションを選択します:[Starts with(次から開始)][Equals(次と等しい)][Contains(次を含む)][Matches regex(次の正規表現に一致)]
    • OktaのGroupName値との照合に使用し、SAMLアサーションに追加する式を入力します。
    • [Add Another(別途追加)]をクリックすると、グループステートメント行を追加できます。
    • 必要なグループ定義が完了するまでこの手順を繰り返します。

    • 情報

    動的SAML機能では、Okta式言語による属性ステートメントの入力方法や処理方法は変更されません。また、この機能により、Okta Integration NetworkのアプリがSAML属性ステートメントを処理できるようになります。以前、属性ステートメントはアプリ統合ウィザードで作成したアプリでのみ使用可能でした。

  • < >[Preview the SAML Assertion(SAMLアサーションのプレビュー)]をクリックすると、SAMLアプリウィザードの[Configure SAML(SAMLを構成)]セクションで生成したXMLを表示できます。

タスク4: フィードバックの構成

社内でのご利用のみを目的として統合を追加するOktaのお客様は、次の操作を行ってください。

  • [I'm an Okta customer adding an internal app(社内アプリを追加するOktaユーザーです)]を選択します。
  • [This is an internal app that we have created(これは当社で作成した社内アプリです)]のチェックボックスをオンにします。SAMLの構成指示を追加してアプリをOktaと連携させる必要がある場合は、[It's required to contact the vendor to enable SAML(SAMLを有効にするには、ベンダーに問い合わせる必要があります)]のチェックボックスをオンにします。Oktaサポートチームがお客様のSAML構成を把握できるように、表示されているフィールドに必要な情報をご入力ください。
  • [Finish(終了)]をクリックします。Okta orgに統合が作成されます。
  • 統合の[Settings(設定)]ページが表示されます。ここでは、任意のパラメーターを変更して、統合をユーザーに割り当てることができます。

お客様がOkta Integration Network(OIN)を自社の統合に追加する独立系ソフトウェアベンダーの場合、次の操作を行ってください。

  • [I'm a software vendor. I'd like to integrate my app with Okta(ソフトウェアベンダーです。自社のアプリをOktaと統合したいと考えています)]を選択します。
  • [Finish(終了)]をクリックします。Okta orgに統合が作成されます。
  • 統合の[Settings(設定)]ページが表示されます。ここでは、任意のパラメーターを変更して、統合をユーザーに割り当てることができます。
  • すべての設定を適切に行ったことを確認し、予備テストを完了したら、[Submit your app for review(アプリを送信してレビューを依頼)]をクリックします。OINマネージャーのサイトが開き、OIN送信プロセスが開始されます。

タスク5:署名証明書を管理する

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

SAMLアプリ統合を作成すると、[Sign On(サインオン)]タブに[SAML Signing Certificates(SAML署名証明書)]セクションが表示されます。ここでは、SSOの署名付きSAMLアサーションを検証し、信頼できるIDプロバイダーとしてOktaを指定できるように、アプリ統合を構成する必要があります。

利用可能な証明書が2つ表示される場合があります。その場合、1つはアクティブでもう1つは非アクティブであることにご注意ください、アクティブな証明書はアプリ統合のみを対象にしていますが、非アクティブな証明書は組織全体を対象にしています。アプリのみを対象とする証明書をアクティブのままにしておくことをお勧めします。オプションで、新しい証明書を生成してアクティブ化できます。

SAMLアプリに必要な設定を完了するには、次の手順を実行します。

  1. [Active(アクティブ)]にする証明書の[Status(ステータス)]を設定します。

    アクティブでない場合は[Actions(アクション)]メニューの[Activate(アクティベート)]で別の証明書を選択するか、[Generate new certificate(新しい証明書を生成)]をクリックして新しい証明書をアクティブにします。

    2. 重要な注意事項次の手順を実行するまでSSO構成は完了しません。

  2. [SAML Setup(SAMLの設定)]で、[View SAML setup instructions(SAMLの設定手順を表示)]をクリックします。

  3. アプリケーションに応じて、次のいずれかを行います。

    • IdP設定をコピーして証明書をダウンロードする
    • アプリケーションがIdPメタデータを処理できる場合は、それらのデータをすべてコピーする

次の手順

統合が想定どおりに動作しない場合は、Oktaサポート(support@okta.com)にお問い合わせください。