SAML IDプロバイダーの追加
SAML IDプロバイダー(IdP)の追加 は、インバウンドSAMLの構成における最初のステップです。
このタスクを開始する
- 管理コンソールで、[セキュリティー] > に移動します [Identity Providers(IDプロバイダー)]に移動します。
- [Add Identity Provider(IDプロバイダーを追加)]をクリックして、[Add SAML 2.0 IdP(SAML 2.0 IdPを追加)]を選択します。
- [General Settings(一般設定)]を構成します。[View Setup Instructions(設定手順を表示)]のリンクが表示されたら、まずこれをクリックします。独自の詳細な指示があるプロバイダーもあります。
Name このIdPに付ける名前です。 Protocol SAML 2.0のみがサポートされます。
- [Authentication Settings(認証の設定)]を構成します。
IdP username ユーザー名を含むSAMLアサーションのエントリードロップダウンリストには、デフォルト値saml.subjectNameIdが含まれます。
式を入力して値を再フォーマットできます。たとえば、SAMLアサーションのユーザー名がjohn.doe@mycompany.okta.comの場合、mycompany.oktaのendpointA.mycompanyでの置き換えを指定することで、john.doe@endpointA.mycompany.comにユーザー名を変換できます。式を入力する場合は、Okta Expression Language(Okta式言語)の構文を使用します。
Filter
式をユーザー名フィルターとして入力する場合のみ、フィルターを選択します。フィルターを指定すると、認証前のユーザー名の選択が制限されます。
Match against
Transformのユーザー名が認証されるOktaのフィールドを選択します。
Account Link Policy OktaがユーザーのIdPアカウントを一致するOktaアカウントと自動的にリンクするかどうかを指定します。 Auto-Link Restrictions 自動アカウントリンクが有効化されている場合は、リンクを指定されたユーザーグループに制限するかを指定します。 If no match is found Just In Time(JIT)プロビジョニングで新しいユーザーアカウントを作成するか、エンドユーザーをOktaサインインページにリダイレクトするかを指定します。
1番目のオプションの場合、JIT プロビジョニングを次の2つの場所で有効にする必要があります:
このモーダルで、[Create new user (JIT)]をクリックします。
[Settings(設定)] > [Customization(カスタマイズ)] > [Just In Time Provisioning(Just In Timeプロビジョニング)]で、[Enable Just In Time Provisioning(Just In Timeプロビジョニングを有効化)]をクリックします。
- JIT 設定を構成します。
Profile Source このボックスを選択すると、このSAMLアサーションの情報で既存のユーザーが更新されます。このボックスが選択されない場合、プロファイル情報はプッシュされません。 Reactivation Settings
このオプションは、[Update attributes for existing users(既存のユーザーの属性を更新)]が選択された場合のみ表示されます。
•Reactivate users who are deactivated in Okta:管理者は、ディアクティベートされたOktaユーザーがアプリでリアクティベートされたときに、そのユーザーをリアクティベートするかどうかを選択できます。
•Unsuspend users who are suspended in Okta:管理者は、一時停止されたOktaユーザーがアプリでリアクティベートされたときに、その一時停止を解除するかどうかを選択できます。
Group Assignments SAMLアサーションのユーザーを追加するグループを指定します。ドロップダウンメニューからいずれかのオプションを選択します。要求される情報はオプションごとに異なります。
注:認証済みのユーザーをグループに追加しないでください。その他の情報は不要です。
Assign to specific groups:Specific Groupsフィールドに表示されているグループに各ユーザーを割り当てます。1つ以上のグループをフィールドに入力する必要があります。
Add user to missing groups:ユーザーは、SAMLアサーション内のまだメンバーではないグループに追加されます。(ユーザーは、すでにメンバーとなっているグループのいずれからも削除されません。)SAML Attribute Nameフィールドに、グループメンバーシップを表す値を持つSAML属性の名前を(SAMLアサーションの属性ステートメントで)入力します。これらの値はGroup Filterフィールドで指定されたグループと比較され、一致する値によって、JITでユーザーが割り当てられるグループが決定されます。Group Filterフィールドは、セキュリティ許可リストとして機能します。IdPでユーザーに動的に割り当てるグループを一覧表示します。これで、どのユーザーを特定のグループに割り当てるかを管理できます。SAML Attribute Nameを入力して、Group Filterフィールドに1つ以上のOktaグループをリストする必要があります。
Full sync of groups:このオプションは、SAML Attribute Nameで指定された属性で表されるグループにユーザーを割り当てます(そのグループがGroup Filterにリストされている場合)。
ユーザーがSAML Attribute Nameフィールドの属性によって表される値と一致しないOktaグループのメンバーである場合、そのユーザーはOktaグループから削除されます。
- SAML プロトコル設定を構成します。
IdP Issuer URI IdPの発行者URIです。 IdP Single Sign-On URL IdPのサインオンURLです。[Request Signature(要求の署名)]オプションを選択してauthNリクエストに署名しているが、Destinationフィールドに宛先を指定していない場合(高度な設定を参照)、Oktaは自動的にauthNリクエストをIdPシングルサインオンURLに送信します。 IdP Signature Certificate アサーションの署名に使用されるIdPの証明書です。
- オプションです。高度な設定を構成します。
Request Binding SAML AuthNRequestメッセージをIdPに送信するためにOktaが使用するSAML認証要求プロトコルのバインディング。通常はHTTP POSTです。 Request Signature Oktaから送信されるSAML AuthnRequestメッセージに署名するかどうかを指定します。このオプションを選択してauthNリクエストに署名すると、Oktaは自動的にauthNリクエストをIdP Single Sign-On URLフィールドで指定されたURLに送信します。 Request Signature Algorithm IdPに送信されるSAML authNメッセージの署名に使用される署名アルゴリズムを指定します。 Response Signature Verification 受信レスポンスを検証するときにOktaが受け入れるレスポンス署名のタイプ(レスポンス、アサーション、レスポンスかアサーション)を指定します。
Response Signature Algorithm IdPにより発行されたSAMLメッセージとSAMLアサーションの検証時の最小署名アルゴリズムを指定します:SHA-1またはSHA-256です。
Destination SAML authNリクエストで送信される宛先属性です。宛先を入力せず、[Request Signature(要求の署名)]オプションを選択してauthNリクエストに署名する場合、OktaはIdP Single Sign-On URLフィールド(SSO URL)で指定されたURLとして自動的に宛先属性を送信します。
Okta Assertion Consumer Service URL 信頼固有のAssertion Consumer Service(ACS)URLを使用するか、組織全体で共有されたURLを使用するかを指定します。
Max Clock Skew
アサーションの有効期間を指定します。数を入力して単位を選択します。認証プロセスで現在時刻とアサーションのタイムスタンプの時刻との差を計算して、その差がMax Clock Skewの値を超えていないことを確認します。
- [Add Identity Provider(IDプロバイダーを追加)]をクリックします。
Oktaメタデータの送信
IdPを作成したら、[Download metadata(メタデータをダウンロード)]をクリックしてこのプロバイダーのOkta SAMLメタデータにアクセスします。IdPの手順に従いメタデータをIdPに提供します。