OIDCアプリの統合
OpenID Connect(OIDC)は、OAuth 2.0認証プロトコルを基盤に構築された業界標準の認証レイヤーです。OAuth 2.0プロトコルがスコープによる制限付きのアクセストークンによってセキュリティを提供し、OIDCがユーザー認証とシングルサインオン(SSO)機能を提供します。OIDCのワークフローでは、OktaはIDプロバイダー(IdP)の機能を果たすこともあれば、サービスプロバイダー(SP)の機能を果たすこともあり、その役割はユースケースに応じて異なります。
管理者はOINカタログから、OIDCを機能として使用するアプリ統合をフィルターを活用して検索できます。OIDC対応アプリ統合が管理者によってorgに追加され、エンドユーザーに割り当てられると、Okta End-User Dashboardに新規アイコンとして表示されます。
IDプロバイダーとしてのOkta
OIDCアプリケーションは、外部アプリケーションにSSOを提供するIdPとして統合できます。また、アプリセキュリティを向上させるMFAプロンプトもサポートされます。
- ユーザーがクライアントアプリケーションへのアクセスを要求します。
- アプリケーションは認証のためにユーザーをOktaにリダイレクトし、ユーザー認証を委任します。ユーザーセッションを確立するために、アプリケーションがOktaにトークンをリクエストします。
- IdPとしてのOktaが、多要素認証(MFA)とSSO資格情報を使用してユーザーを認証します。ユーザーの検証に成功すると、ユーザーにアプリケーションへのアクセス権を認めるよう求めます。
- ユーザーのアクセス権が認められると、Oktaは、アプリケーションがアクセスできるユーザーID情報などを格納したIDトークンを生成します。
- Oktaが認証済みユーザーをアプリケーションに返します。
サービスプロバイダーとしてのOkta
OktaはSPとして機能することもできます。その場合はIBM Tivoli Access ManagerやOracle Access Manager、CA SiteMinderなどのSSOソリューションによるシングルサインオン認証を利用します。
このシナリオでは、ユーザーがOktaにサインインしようとすると、認証のために外部のIdPにリダイレクトされます。ユーザーが正常に認証されると、外部IdPはOIDCトークンを返します。このトークンがユーザーのブラウザーに渡され、ユーザーはOktaサービスにアクセスできるようになります。
- ユーザーがブラウザーでOktaを開き、クラウドまたはオンプレミスのアプリの統合にサインインします。
- SPとしてのOktaが、ユーザー認証を外部IdPに委任します。
- 外部IdPが、Oktaの認可サーバーとして機能します。
- IdPがユーザーの認証を行い、IDトークンをOktaに返します。
- Oktaは外部IdPが発行したOIDCトークンを検証します。必要に応じて、ユーザー認証にMFAを適用します。同じく必要があれば、ジャストインタイムプロビジョニングを利用してユーザーをOkta内に作成できます。
エンドユーザーがインターネット経由でOktaにアクセスできる場合、ユーザー、クライアントアプリケーション、外部IdPのいずれもイントラネット上のファイアウォールの内側に配置できます。