SAML IDプロバイダーの追加

SAML IDプロバイダー(IdP)の追加 は、インバウンドSAMLの構成における最初のステップです。

このタスクを開始する

  1. 管理コンソールで、[セキュリティー] > に移動します [Identity Providers(IDプロバイダー)]に移動します。
  2. [Add Identity Provider(IDプロバイダーを追加)]をクリックして、[Add SAML 2.0 IdP(SAML 2.0 IdPを追加)]を選択します。
  3. [General Settings(一般設定)]を構成します。[View Setup Instructions(設定手順を表示)]のリンクが表示されたら、まずこれをクリックします。独自の詳細な指示があるプロバイダーもあります。
    NameこのIdPに付ける名前です。
    ProtocolSAML 2.0のみがサポートされます。
  1. [Authentication Settings(認証の設定)]を構成します。
    IdP username

    ユーザー名を含むSAMLアサーションのエントリードロップダウンリストには、デフォルト値saml.subjectNameIdが含まれます。

    式を入力して値を再フォーマットできます。たとえば、SAMLアサーションのユーザー名がjohn.doe@mycompany.okta.comの場合、mycompany.oktaendpointA.mycompanyでの置き換えを指定することで、john.doe@endpointA.mycompany.comにユーザー名を変換できます。式を入力する場合は、Okta Expression Language(Okta式言語)の構文を使用します。

    Filter

    式をユーザー名フィルターとして入力する場合のみ、フィルターを選択します。フィルターを指定すると、認証前のユーザー名の選択が制限されます。

    Match against

    Transformのユーザー名が認証されるOktaのフィールドを選択します。

    Account Link PolicyOktaがユーザーのIdPアカウントを一致するOktaアカウントと自動的にリンクするかどうかを指定します。
    Auto-Link Restrictions自動アカウントリンクが有効化されている場合は、リンクを指定されたユーザーグループに制限するかを指定します。
    If no match is found

    Just In Time(JIT)プロビジョニングで新しいユーザーアカウントを作成するか、エンドユーザーをOktaサインインページにリダイレクトするかを指定します。

    1番目のオプションの場合、JIT プロビジョニングを次の2つの場所で有効にする必要があります:

    1. このモーダルで、[Create new user (JIT)]をクリックします。

    2. [Settings(設定)] > [Customization(カスタマイズ)] > [Just In Time Provisioning(Just In Timeプロビジョニング)]で、[Enable Just In Time Provisioning(Just In Timeプロビジョニングを有効化)]をクリックします。

  1. JIT 設定を構成します。
    Profile Sourceこのボックスを選択すると、このSAMLアサーションの情報で既存のユーザーが更新されます。このボックスが選択されない場合、プロファイル情報はプッシュされません。

    Reactivation Settings

    このオプションは、[Update attributes for existing users(既存のユーザーの属性を更新)]が選択された場合のみ表示されます。

    Reactivate users who are deactivated in Okta:管理者は、ディアクティベートされたOktaユーザーがアプリでリアクティベートされたときに、そのユーザーをリアクティベートするかどうかを選択できます。

    Unsuspend users who are suspended in Okta:管理者は、一時停止されたOktaユーザーがアプリでリアクティベートされたときに、その一時停止を解除するかどうかを選択できます。

    Group Assignments

    SAMLアサーションのユーザーを追加するグループを指定します。ドロップダウンメニューからいずれかのオプションを選択します。要求される情報はオプションごとに異なります。

    • :認証済みのユーザーをグループに追加しないでください。その他の情報は不要です。

    • Assign to specific groupsSpecific Groupsフィールドに表示されているグループに各ユーザーを割り当てます。1つ以上のグループをフィールドに入力する必要があります。

    • Add user to missing groups:ユーザーは、SAMLアサーション内のまだメンバーではないグループに追加されます。(ユーザーは、すでにメンバーとなっているグループのいずれからも削除されません。)SAML Attribute Nameフィールドに、グループメンバーシップを表す値を持つSAML属性の名前を(SAMLアサーションの属性ステートメントで)入力します。これらの値はGroup Filterフィールドで指定されたグループと比較され、一致する値によって、JITでユーザーが割り当てられるグループが決定されます。Group Filterフィールドは、セキュリティ許可リストとして機能します。IdPでユーザーに動的に割り当てるグループを一覧表示します。これで、どのユーザーを特定のグループに割り当てるかを管理できます。SAML Attribute Nameを入力して、Group Filterフィールドに1つ以上のOktaグループをリストする必要があります。

    • Full sync of groups:このオプションは、SAML Attribute Nameで指定された属性で表されるグループにユーザーを割り当てます(そのグループがGroup Filterにリストされている場合)。

    ユーザーがSAML Attribute Nameフィールドの属性によって表される値と一致しないOktaグループのメンバーである場合、そのユーザーはOktaグループから削除されます。

  1. SAML プロトコル設定を構成します。
    IdP Issuer URIIdPの発行者URIです。
    IdP Single Sign-On URLIdPのサインオンURLです。[Request Signature(要求の署名)]オプションを選択してauthNリクエストに署名しているが、Destinationフィールドに宛先を指定していない場合(高度な設定を参照)、Oktaは自動的にauthNリクエストをIdPシングルサインオンURLに送信します。
    IdP Signature Certificateアサーションの署名に使用されるIdPの証明書です。
  1. オプションです。高度な設定を構成します。
    Request BindingSAML AuthNRequestメッセージをIdPに送信するためにOktaが使用するSAML認証要求プロトコルのバインディング。通常はHTTP POSTです。
    Request SignatureOktaから送信されるSAML AuthnRequestメッセージに署名するかどうかを指定します。このオプションを選択してauthNリクエストに署名すると、Oktaは自動的にauthNリクエストをIdP Single Sign-On URLフィールドで指定されたURLに送信します。
    Request Signature AlgorithmIdPに送信されるSAML authNメッセージの署名に使用される署名アルゴリズムを指定します。
    Response Signature Verification

    受信レスポンスを検証するときにOktaが受け入れるレスポンス署名のタイプ(レスポンス、アサーション、レスポンスかアサーション)を指定します。

    Response Signature Algorithm

    IdPにより発行されたSAMLメッセージとSAMLアサーションの検証時の最小署名アルゴリズムを指定します:SHA-1またはSHA-256です。

    Destination

    SAML authNリクエストで送信される宛先属性です。宛先を入力せず、[Request Signature(要求の署名)]オプションを選択してauthNリクエストに署名する場合、OktaはIdP Single Sign-On URLフィールド(SSO URL)で指定されたURLとして自動的に宛先属性を送信します。

    Okta Assertion Consumer Service URL

    信頼固有のAssertion Consumer Service(ACS)URLを使用するか、組織全体で共有されたURLを使用するかを指定します。

    Max Clock Skew

    アサーションの有効期間を指定します。数を入力して単位を選択します。認証プロセスで現在時刻とアサーションのタイムスタンプの時刻との差を計算して、その差がMax Clock Skewの値を超えていないことを確認します。

  1. [Add Identity Provider(IDプロバイダーを追加)]をクリックします。

Oktaメタデータの送信

IdPを作成したら、[Download metadata(メタデータをダウンロード)]をクリックしてこのプロバイダーのOkta SAMLメタデータにアクセスします。IdPの手順に従いメタデータをIdPに提供します。

次の手順

IDプロバイダーのメタデータを追加する