アプリケーションでのシングル・サインオン

Oktaを使用すると、クラウド、オンプレミス、およびモバイル・アプリケーションにシングル・サインオン(SSO)でアクセスできるようになります。

Oktaにサインインすると、認証情報を再入力することなく、任意のWebアプリを起動できます。Oktaはユーザーのブラウザーとの安全な接続を確立し、次の2つのSSO統合方法のいずれかを使用して、Okta管理対象アプリのユーザーを認証します。

  • Oktaのセキュリティーで保護されたWeb認証(SWA)
  • フェデレーション(SAMLまたはほかの独自のフェデレーション認証プロトコルをサポート)

Oktaは、数千の対応アプリケーションを集めたOkta Integration Network(OIN)で、クラウド・アプリへのアクセスを提供しています。SSOプロトコルとプロビジョニングAPIは、Oktaによって管理されています。OINのアプリケーションは、SWA、SAML、OpenID Connect(OIDC)または独自仕様のAPIを使用できます。

Oktaは、オンプレミスのWebベース・アプリケーションの統合も提供しています。SSO用SWA、SAMLツールキット、プロビジョニングとプロビジョニング解除のサポートを使用したオンプレミス・アプリを、プロビジョニングAPIを公開しているアプリケーションに統合することができます。

Oktaは、モバイル・プラットフォーム向けに最適化されたHTML5 Webアプリ、ネイティブiOS、Androidアプリのいずれであっても、モバイル・アプリの統合を提供します。どのモバイル・デバイスからも、SSOを使用して、OINのあらゆるWebアプリケーションにアクセスできます。モバイルWebアプリは、業界標準のSAMLまたはOktaのSWA SSOテクノロジーを使用可能です。Box Mobileなどのネイティブ・アプリケーションは、登録にはSAML認証、継続的使用にはOAuthを使用して、統合できます。

SWAアプリについて

SWAは、フェデレーションSSOをサポートしていないアプリ用に作成されました。アプリのSWAを有効にすると、エンド・ユーザーの[マイ・アプリケーション]ページのアプリ・アイコンの横にリンクが表示されます。リンクを選択すると、ユーザーはそのアプリの認証情報の設定や更新ができます。 Oktaは、強力な暗号化と顧客固有の秘密鍵を組み合わせた暗号化形式でエンド・ユーザーの認証情報を保存しています。エンド・ユーザーがアプリケーション・アイコンをクリックすると、OktaはSSL経由でアプリのログイン・ページに認証情報を安全に送信し、ユーザーは自動的にサインインできます。

ユーザーのサインイン・オプションを設定することで、SWAの認証情報をOktaの認証情報と一致させることができるため、Oktaにサインインした後で追加のサインインは必要ありません。

サインイン・オプションを設定する際、SWAを次のように設定できます。

注意[パスワードを同期]がプロビジョニング・オプションとして設定されている場合、 サインイン・オプションは設定できません。

[ユーザーがユーザー名とパスワードを設定します]

このオプションを使用すると、ユーザーは最初に独自のユーザー名とパスワードを選択できます。このオプションでは、次の点に注意してください。

  • エンド・ユーザーが[強力なランダム・パスワードを生成]機能を利用できるようにするには、このオプションを選択する必要があります。
  • ユーザーがアプリから割り当てを解除され、その後再割り当てされた場合、ユーザー名とパスワードを再入力する必要があります。ユーザーは、次の方法で割り当てを解除される可能性があります。
    • ユーザーがOktaで非アクティブ化される。
    • アプリに割り当てられたグループからユーザーが削除される。
    • アプリで非アクティブ化された後、インポートに表示されない。
    • ユーザーが属する組織単位(OU)の選択が解除されている。

[管理者がユーザー名とパスワードを設定します]

この2番目のオプションは、最も堅牢なレベルの管理コントロールを提供します。これにより、管理者はアプリ・インスタンスのすべてのユーザー名とパスワードを設定できます。その後、Oktaエンド・ユーザーに認証情報が公開されることはありません。このオプションを選択した場合、機密性の高いアプリの認証情報へのユーザー・アクセスを遮断できます。これを機能させるには、ユーザーがアプリのパスワードをリセットする別の方法を持たないようにしてください。また、管理者が難読化された新しいパスワードをOktaユーザーに提供する必要がある場合にも役立ちます。ユーザーとの積極的な通信は必要ありません。

特定のSWAアプリのユーザー名とパスワードを設定するには、次の手順を実行します。

  1. Oktaにサインインしていない状態で、割り当てる下流アプリにアクセスします。
  2. アプリ内でユーザー名とパスワードを設定します。
  3. Oktaに戻り、OINでアプリにアクセスするか、アプリを作成します。
  4. アプリページで[サインオン]タブ(または手順)を選択します。
  5. [管理者がユーザー名とパスワードを設定します]を選択し、[次へ]をクリックします。
  6. アプリをユーザーに割り当て、ユーザー名とパスワードを割り当てます。

注意:

  • 管理者が作成したパスワードは、最初に作成したときしか表示できません。送信後、パスワードは管理者に表示されなくなります。パスワードを変更するには、まず下流アプリでリセットしてから、Oktaでリセットします。
  • 選択したアプリが設定済のOktaグループに既に割り当てられていた場合、グループ・メンバーは各ユーザーのユーザー名とパスワードを手動で更新する必要があります。
  • このオプションを選択した場合、[パスワード表示]機能は無効になります。この場合、エンド・ユーザーはパスワードにアクセスできないためです。

[管理者がユーザー名を設定し、ユーザーがパスワードを設定します]

このオプションを使用すると、管理者はユーザーに代わってアプリ・インスタンス・アカウントを設定できますが、ユーザーもOktaパスワードとは別のアプリ・パスワードを設定および変更できます。

  1. Oktaにサインインしていない状態で、割り当てる下流アプリにアクセスします。
  2. アプリ内で各ユーザーのユーザー名を設定します。
  3. Oktaに戻り、OINでアプリにアクセスするか、アプリを作成します。
  4. アプリページで[サインオン]タブ(または手順)を選択します。
  5. [管理者がユーザー名を設定し、ユーザーがパスワードを設定します]を選択し、[次へ]をクリックします。
  6. アプリを適切なユーザーに割り当てます。

[管理者がユーザー名を設定します。パスワードはOktaのパスワードと同じです]

このオプションを使用すると、管理者はユーザーに代わってアプリ・インスタンス・アカウントを設定でき、既存のOktaパスワードを活用できます。これを機能させるには、管理者が下流アプリにユーザー・アカウントを追加し、Oktaとのプロビジョニング統合によりユーザー名を関連付ける必要があります。この設定後、ユーザーはユーザー名またはパスワードの入力を求められることなく統合にアクセスできます。

  1. Oktaにサインインしていない状態で、割り当てる下流アプリにアクセスします。
  2. アプリ内で各ユーザーのユーザー名とパスワードを設定します。
  3. Oktaに戻り、OINでアプリにアクセスするか、アプリを作成します。
  4. アプリページで[サインオン]タブ(または手順)を選択します。
  5. [管理者がユーザー名を設定します。パスワードはOktaのパスワードと同じです]を選択し、[次へ]をクリックします。
  6. アプリを適切なユーザーに割り当てます。

[ユーザーは管理者が設定した1つのユーザー名およびパスワードを共有します]

組織内の複数のユーザーによって共有される単一のアプリ・ライセンスまたは単一のアプリ・アカウント(Twitterなど)がある場合は、このオプションを選択します。

共有アプリの共有認証情報を設定するには、次の手順を実行します。

  1. Oktaにサインインしていない状態で、割り当てる下流アプリにアクセスします。
  2. アプリ内でユーザー名とパスワードを設定します。
  3. Oktaに戻り、OINでアプリにアクセスするか、アプリを作成します。
  4. アプリページで[サインオン]タブ(または手順)を選択します。
  5. [ユーザーは管理者が設定した1つのユーザー名およびパスワードを共有します]を選択し、[次へ]をクリックします。
  6. アプリを適切なユーザーに割り当てます。

注意:このオプションを選択した場合、[パスワード表示]機能は有効にできますが、共有パスワードは管理者にしか表示されません。エンド・ユーザーは共有パスワードを表示できません。

SAMLアプリについて

Oktaは、OINに含まれていないアプリがSAMLをサポートできるように、統合ツールキットを提供しています。.NET、Java、およびPHPプラットフォーム用のSAML統合ツールキットを入手できます。

Active Directory認証済みWebアプリのSSO

オンプレミスWebアプリをOktaと統合できます。認証にActive Directory(AD)認証情報を使用するオンプレミスWebアプリは、統合Windows認証(IWA)を使用しない代わりに、ユーザーがブラウザーにサインインする際にAD認証情報の入力を要求します。認証をADに委任するようにOktaを設定すると、内部Webアプリへのサインインも自動化できます。

OktaがAD認証された内部Webアプリケーションに対してSSOを有効にする方法は次のとおりです。

  1. 認証をADに委任するようにOktaを設定します。
  2. 顧客がオンプレミスのアプリでADを認証します。
  3. ユーザーがAD認証情報を使用してOktaにサインインします。
  4. ユーザーがAD認証情報を使用してSWAで内部Webにアクセスします。
  5. 内部WebアプリがADに対してユーザーを認証します。

OktaはSWAを使用してユーザーを内部Webアプリに自動的にサインインさせます。認証をAD(Oktaが認証を委任するのと同じソース)に委任するように内部Webアプリケーションを設定すると、Oktaはサインイン処理中にユーザーのADパスワードを取得し、ADに委任するすべてのアプリケーションでそのユーザーのパスワードを自動的に設定します。これにより、ユーザーはリンクをクリックしてこれらのアプリにアクセスし、自動的にサインインできます。OktaはADパスワードを安全に同期します。後でADでパスワードが変更された場合、ユーザーがOktaにサインインするとその変更が取得され、そのアプリの安全なパスワード・ストア内ですぐに更新されるので、次回のサインインが成功します。

テンプレート・アプリについて

オンデマンドでアプリを作成するために使用できる2つの一般的なSWAテンプレート・アプリがあります。1つはサインイン・ページへの投稿を実行するもの(テンプレート・アプリ)、もう1つはプラグインを使用して投稿を実行するもの(テンプレート・プラグイン・アプリ)です。これらのテンプレート・アプリを使用すると、実行中のシステムでリアルタイムにアプリケーション統合を作成できます。

ブラウザー・プラグインについて

Okta Browser Pluginを使用すると、手動で認証情報を入力しなければならないアプリケーションに自動的にサインインできます。ブラウザー・プラグインの詳細については、「Okta Browser Plugin」を参照してください。

Okta Mobileアプリについて

Okta MobileはSSOを使用して、iPadまたはiPhone上のアプリに機能を拡張します。Okta Mobileアプリケーションは、組み込みのOktaブラウザーとアプリ・メニューを提供しています。Okta Mobileアプリは、Apple App Storeからダウンロードしてインストールできます。モバイル・アプリとOkta Mobileの詳細については、「Okta Mobileについて」を参照してください。

アプリ統合ウィザードについて

アプリ統合ウィザードを使用して、独自のアプリを作成できます。アプリ統合ウィザードでは、カスタムSWAおよびSAML 2.0アプリを作成できます。アプリ統合ウィザードの詳細については、「アプリ統合を新規作成する」をご覧ください。