OIDCアプリ統合
OpenID Connect(OIDC)は、OAuth 2.0認証プロトコルを基盤に構築された業界標準の認証レイヤーです。OAuth 2.0プロトコルがスコープによる制限付きのアクセス・トークンによってセキュリティーを提供し、OIDCがユーザー認証とシングル・サインオン(SSO)機能を提供します。OIDCのワークフローでは、OktaはIDプロバイダー(IdP)の機能を果たすこともあれば、サービス・プロバイダー(SP)の機能を果たすこともあり、その役割はユースケースに応じて異なります。
管理者はOINカタログから、OIDCを機能として使用するアプリ統合をフィルターを活用して検索できます。OIDC対応アプリ統合が管理者によって組織に追加され、エンド・ユーザーに割り当てられると、Okta End-User Dashboardに新規アイコンとして表示されます。
IDプロバイダーとしてのOkta
Oktaは、OIDCアプリケーションを外部アプリケーションにSSOを提供するIdPとして統合することができます。またアプリケーションのセキュリティーを向上させるMFAプロンプトもサポートしています。
- ユーザーがクライアント・アプリケーションへのアクセスをリクエストします。
- アプリケーションは認証のためにユーザーをOktaにリダイレクトし、ユーザー認証を委任します。アプリケーションはユーザー・セッションを確立するため、Oktaにトークンをリクエストします。
- OktaはIdPとして機能し、多要素認証(MFA)とSSO資格情報を使用してユーザーを認証します。ユーザーの検証に成功すると、ユーザーにアプリケーションへのアクセス権を認めるよう求めます。
- ユーザーのアクセス権が認められると、Oktaは、アプリケーションがアクセスできるユーザーID情報などを格納したIDトークンを生成します。
- Oktaは認証に成功したユーザーをアプリケーションに返します。
サービス・プロバイダーとしてのOkta
OktaはSPとして機能することもできます。その場合はIBM Tivoli Access ManagerやOracle Access Manager、CA SiteMinderなど他のSSOソリューションによるシングル・サインオン認証を利用します。
このシナリオでは、ユーザーがOktaにサインインしようとすると、認証のために外部のIdPにリダイレクトされます。ユーザーが正常に認証されると外部IdPがOIDCトークンを返します。このトークンはその後ユーザーのブラウザーに渡され、ユーザーはOktaサービスにアクセスできるようになります。
- ユーザーがブラウザーでOktaを開き、クラウドまたはオンプレミスのアプリ統合にサインインします。
- OktaはSPとして機能し、ユーザー認証については外部IdPに委任します。
- 外部IdPがOktaの認可サーバーとして機能します。
- IdPはユーザーを認証し、IDトークンをOktaに返します。
- Oktaは外部IdPが発行したOIDCトークンを検証します。必要に応じて、ユーザー認証にMFAを適用します。同じく必要があれば、ジャストインタイム・プロビジョニングを利用してユーザーをOkta内に作成できます。
エンド・ユーザーがインターネット経由でOktaにアクセスできる限りは、ユーザー、クライアント・アプリケーション、外部IdPのいずれもイントラネット上のファイアウォールの内側に配置できます。