SAML IDプロバイダーの追加

SAML IDプロバイダー（IdP）の追加は、インバウンドSAMLの構成における最初のステップです。

このタスクを開始する

管理コンソールで、[セキュリティー] > に移動します ［Identity Providers（IDプロバイダー）］に移動します。
［Add Identity Provider（IDプロバイダーを追加）］をクリックして、［Add SAML 2.0 IdP（SAML 2.0 IdPを追加）］を選択します。
［General Settings（一般設定）］を構成します。［View Setup Instructions（設定手順を表示）］のリンクが表示されたら、まずこれをクリックします。独自の詳細な指示があるプロバイダーもあります。
Name このIdPに付ける名前です。
Protocol SAML 2.0のみがサポートされます。

［Authentication Settings（認証の設定）］を構成します。

IdP username
ユーザー名を含むSAMLアサーションのエントリードロップダウンリストには、デフォルト値saml.subjectNameIdが含まれます。
式を入力して値を再フォーマットできます。たとえば、SAMLアサーションのユーザー名がjohn.doe@mycompany.okta.comの場合、mycompany.oktaのendpointA.mycompanyでの置き換えを指定することで、john.doe@endpointA.mycompany.comにユーザー名を変換できます。式を入力する場合は、Okta Expression Language（Okta式言語）の構文を使用します。
Filter
式をユーザー名フィルターとして入力する場合のみ、フィルターを選択します。フィルターを指定すると、認証前のユーザー名の選択が制限されます。
Match against
Transformのユーザー名が認証されるOktaのフィールドを選択します。
Account Link Policy OktaがユーザーのIdPアカウントを一致するOktaアカウントと自動的にリンクするかどうかを指定します。
Auto-Link Restrictions 自動アカウントリンクが有効化されている場合は、リンクを指定されたユーザーグループに制限するかを指定します。
If no match is found
Just In Time（JIT）プロビジョニングで新しいユーザーアカウントを作成するか、エンドユーザーをOktaサインインページにリダイレクトするかを指定します。
1番目のオプションの場合、JIT プロビジョニングを次の2つの場所で有効にする必要があります：
このモーダルで、［Create new user (JIT)］をクリックします。
［Settings（設定）］ > ［Customization（カスタマイズ）］ > ［Just In Time Provisioning（Just In Timeプロビジョニング）］で、［Enable Just In Time Provisioning（Just In Timeプロビジョニングを有効化）］をクリックします。

JIT 設定を構成します。

Profile Source このボックスを選択すると、このSAMLアサーションの情報で既存のユーザーが更新されます。このボックスが選択されない場合、プロファイル情報はプッシュされません。
Reactivation Settings
このオプションは、［Update attributes for existing users（既存のユーザーの属性を更新）］が選択された場合のみ表示されます。
•Reactivate users who are deactivated in Okta：管理者は、ディアクティベートされたOktaユーザーがアプリでリアクティベートされたときに、そのユーザーをリアクティベートするかどうかを選択できます。
•Unsuspend users who are suspended in Okta：管理者は、一時停止されたOktaユーザーがアプリでリアクティベートされたときに、その一時停止を解除するかどうかを選択できます。
Group Assignments
SAMLアサーションのユーザーを追加するグループを指定します。ドロップダウンメニューからいずれかのオプションを選択します。要求される情報はオプションごとに異なります。
注：認証済みのユーザーをグループに追加しないでください。その他の情報は不要です。
Assign to specific groups：Specific Groupsフィールドに表示されているグループに各ユーザーを割り当てます。1つ以上のグループをフィールドに入力する必要があります。
Add user to missing groups：ユーザーは、SAMLアサーション内のまだメンバーではないグループに追加されます。（ユーザーは、すでにメンバーとなっているグループのいずれからも削除されません。）SAML Attribute Nameフィールドに、グループメンバーシップを表す値を持つSAML属性の名前を（SAMLアサーションの属性ステートメントで）入力します。これらの値はGroup Filterフィールドで指定されたグループと比較され、一致する値によって、JITでユーザーが割り当てられるグループが決定されます。Group Filterフィールドは、セキュリティ許可リストとして機能します。IdPでユーザーに動的に割り当てるグループを一覧表示します。これで、どのユーザーを特定のグループに割り当てるかを管理できます。SAML Attribute Nameを入力して、Group Filterフィールドに1つ以上のOktaグループをリストする必要があります。
Full sync of groups：このオプションは、SAML Attribute Nameで指定された属性で表されるグループにユーザーを割り当てます（そのグループがGroup Filterにリストされている場合）。
ユーザーがSAML Attribute Nameフィールドの属性によって表される値と一致しないOktaグループのメンバーである場合、そのユーザーはOktaグループから削除されます。

SAML プロトコル設定を構成します。

IdP Issuer URI IdPの発行者URIです。
IdP Single Sign-On URL IdPのサインオンURLです。［Request Signature（要求の署名）］オプションを選択してauthNリクエストに署名しているが、Destinationフィールドに宛先を指定していない場合（高度な設定を参照）、Oktaは自動的にauthNリクエストをIdPシングルサインオンURLに送信します。
IdP Signature Certificate アサーションの署名に使用されるIdPの証明書です。

オプションです。高度な設定を構成します。

Request Binding SAML AuthNRequestメッセージをIdPに送信するためにOktaが使用するSAML認証要求プロトコルのバインディング。通常はHTTP POSTです。
Request Signature Oktaから送信されるSAML AuthnRequestメッセージに署名するかどうかを指定します。このオプションを選択してauthNリクエストに署名すると、Oktaは自動的にauthNリクエストをIdP Single Sign-On URLフィールドで指定されたURLに送信します。
Request Signature Algorithm IdPに送信されるSAML authNメッセージの署名に使用される署名アルゴリズムを指定します。
Response Signature Verification
受信レスポンスを検証するときにOktaが受け入れるレスポンス署名のタイプ（レスポンス、アサーション、レスポンスかアサーション）を指定します。
Response Signature Algorithm
IdPにより発行されたSAMLメッセージとSAMLアサーションの検証時の最小署名アルゴリズムを指定します：SHA-1またはSHA-256です。
Destination
SAML authNリクエストで送信される宛先属性です。宛先を入力せず、［Request Signature（要求の署名）］オプションを選択してauthNリクエストに署名する場合、OktaはIdP Single Sign-On URLフィールド（SSO URL）で指定されたURLとして自動的に宛先属性を送信します。
Okta Assertion Consumer Service URL
信頼固有のAssertion Consumer Service（ACS）URLを使用するか、組織全体で共有されたURLを使用するかを指定します。
Max Clock Skew
アサーションの有効期間を指定します。数を入力して単位を選択します。認証プロセスで現在時刻とアサーションのタイムスタンプの時刻との差を計算して、その差がMax Clock Skewの値を超えていないことを確認します。

［Add Identity Provider（IDプロバイダーを追加）］をクリックします。

Oktaメタデータの送信

IdPを作成したら、［Download metadata（メタデータをダウンロード）］をクリックしてこのプロバイダーのOkta SAMLメタデータにアクセスします。IdPの手順に従いメタデータをIdPに提供します。

次の手順

IDプロバイダーのメタデータを追加する

Name	このIdPに付ける名前です。
Protocol	SAML 2.0のみがサポートされます。

IdP username	ユーザー名を含むSAMLアサーションのエントリードロップダウンリストには、デフォルト値saml.subjectNameIdが含まれます。式を入力して値を再フォーマットできます。たとえば、SAMLアサーションのユーザー名がjohn.doe@mycompany.okta.comの場合、mycompany.oktaのendpointA.mycompanyでの置き換えを指定することで、john.doe@endpointA.mycompany.comにユーザー名を変換できます。式を入力する場合は、Okta Expression Language（Okta式言語）の構文を使用します。
Filter	式をユーザー名フィルターとして入力する場合のみ、フィルターを選択します。フィルターを指定すると、認証前のユーザー名の選択が制限されます。
Match against	Transformのユーザー名が認証されるOktaのフィールドを選択します。
Account Link Policy	OktaがユーザーのIdPアカウントを一致するOktaアカウントと自動的にリンクするかどうかを指定します。
Auto-Link Restrictions	自動アカウントリンクが有効化されている場合は、リンクを指定されたユーザーグループに制限するかを指定します。
If no match is found	Just In Time（JIT）プロビジョニングで新しいユーザーアカウントを作成するか、エンドユーザーをOktaサインインページにリダイレクトするかを指定します。 1番目のオプションの場合、JIT プロビジョニングを次の2つの場所で有効にする必要があります：このモーダルで、［Create new user (JIT)］をクリックします。［Settings（設定）］ > ［Customization（カスタマイズ）］ > ［Just In Time Provisioning（Just In Timeプロビジョニング）］で、［Enable Just In Time Provisioning（Just In Timeプロビジョニングを有効化）］をクリックします。

IdP Issuer URI	IdPの発行者URIです。
IdP Single Sign-On URL	IdPのサインオンURLです。［Request Signature（要求の署名）］オプションを選択してauthNリクエストに署名しているが、Destinationフィールドに宛先を指定していない場合（高度な設定を参照）、Oktaは自動的にauthNリクエストをIdPシングルサインオンURLに送信します。
IdP Signature Certificate	アサーションの署名に使用されるIdPの証明書です。

Request Binding	SAML AuthNRequestメッセージをIdPに送信するためにOktaが使用するSAML認証要求プロトコルのバインディング。通常はHTTP POSTです。
Request Signature	Oktaから送信されるSAML AuthnRequestメッセージに署名するかどうかを指定します。このオプションを選択してauthNリクエストに署名すると、Oktaは自動的にauthNリクエストをIdP Single Sign-On URLフィールドで指定されたURLに送信します。
Request Signature Algorithm	IdPに送信されるSAML authNメッセージの署名に使用される署名アルゴリズムを指定します。
Response Signature Verification	受信レスポンスを検証するときにOktaが受け入れるレスポンス署名のタイプ（レスポンス、アサーション、レスポンスかアサーション）を指定します。
Response Signature Algorithm	IdPにより発行されたSAMLメッセージとSAMLアサーションの検証時の最小署名アルゴリズムを指定します：SHA-1またはSHA-256です。
Destination	SAML authNリクエストで送信される宛先属性です。宛先を入力せず、［Request Signature（要求の署名）］オプションを選択してauthNリクエストに署名する場合、OktaはIdP Single Sign-On URLフィールド（SSO URL）で指定されたURLとして自動的に宛先属性を送信します。
Okta Assertion Consumer Service URL	信頼固有のAssertion Consumer Service（ACS）URLを使用するか、組織全体で共有されたURLを使用するかを指定します。
Max Clock Skew	アサーションの有効期間を指定します。数を入力して単位を選択します。認証プロセスで現在時刻とアサーションのタイムスタンプの時刻との差を計算して、その差がMax Clock Skewの値を超えていないことを確認します。