認可サーバーを構築する
API Access Managementには、Oktaでのカスタム認可サーバーの構築が含まれる場合があります。これらのカスタムサーバーを使用し、APIエンドポイントを保護するための認可ポリシーを作成して適用します。「使用可能な認可サーバーのタイプ」を参照してください。
認可サーバーは、「ステージング」や「本番」などのセキュリティ境界を定義します。各認可サーバー内で、独自のOAuthスコープ・クレーム・アクセスポリシーを定義できます。これにより、アプリとAPIが中央認可ポイントを使用して、属性変換用のOkta Universal Directory、エンドユーザー向けのAdaptive MFA制御、システムイベントの記録、分析データの生成など、OktaのID機能を活用することができます。
中核となる認可サーバーは、単なるOAuth 2.0トークンミンティングエンジンです。各認可サーバーには、一意の発行者URIとトークン用の独自の署名鍵があります。これにより、セキュリティドメイン間の適切な境界が維持されます。
認可サーバーは、OpenID Connectプロバイダーとしても機能します。つまり、認可サーバーのエンドポイントから、アクセストークンに加えてIDトークンも要求することができます。
はじめに
OktaのOrg Authorization Serverまたはカスタム認可サーバーのどちらを使用する必要があるかは、どのようにして確認しますか?
次の条件に該当する場合にカスタムサーバーを使用します。
- Okta以外のリソースを保護する必要がある。
- ユーザーが従業員、パートナー、エンドユーザー、または他の同様の専門分野かどうかに応じて、異なる認可ポリシーが必要。
従業員、パートナー、ユーザーがすべてシングルサインオンに同じ認証ポリシーを使用できる場合は、組み込みのOrg Authorization Serverを試してください。
クライアントとOkta間のカスタム認証を管理するには:
- クライアントアプリのスコープとクレームを特定し、Oktaに登録します。
- 1つ以上の認可サーバーを作成し、アプリで想定されるスコープとクレームを一致させるよう定義します。
クライアントアプリはスコープ名を認識し、認可サーバーで定義されたクレームを想定している必要があります。
手順
|
タスク |
説明 |
|---|---|
| 認可サーバーを作成する |
カスタム認可サーバーを使用してOktaとクライアントアプリケーション間のアクセスを管理します。 |
| APIアクセススコープを作成する | スコープは、APIエンドポイントで実行できる高レベルの操作を表します。 |
| APIアクセスクレームを作成する | トークンクレームは、件名または別の件名に関する記述です(名前、ロール、メールアドレスなど)。 |
| アクセスポリシーを作成する | アクセスポリシーは、クライアントが認可サーバーを何に対してどのような方法で使用できるかを制御します。 |
|
API呼び出しを発行して認可サーバーをテストします。また、トークンのプレビューも可能です。 |
|
|
キーはデフォルトで自動的にローテーションされます。ただし、必要に応じて、管理者が手動でキーをローテーションできるように認可サーバーを設定できます。 |
|
|
サーバーの削除方法。 |