インバウンドSAMLのカスタマイズオプション

インバウンドSAMLでユーザーをOktaに接続する際、いくつかのカスタマイズオプションを利用できます。

  • ユーザーは、追加のプロビジョニングなしでOktaにSSOでサインインできます。つまり、ユーザーはOktaでマスタリングされます。
  • IDプロバイダー(IdP)が管理するJust In Time(JIT)プロビジョニングで、ユーザーをOktaにプロビジョニングできます。トグルで、各IdPの信頼性に基づいてJITプロビジョニングを有効または無効にできます。
  • JITでユーザーをグループに割り当てることができます。
  • SAML IdPとOktaの間の自動アカウントリンクを有効、無効にできます。また、Oktaユーザーが指定されたグループのメンバーであるかどうかに基づいて、自動アカウントリンクを制限することもできます。

インバウンドSAMLはユニバーサルディレクトリ(UD)の上に配置されるため、受信アサーションから豊富な属性をOktaで保存できます。必要な数だけIDプロバイダーを定義してから、プロファイルエディターを使用してプロバイダーごとに任意の数の属性を定義します。属性は、氏名、メールアドレス、電話番号などに制限されません。

Oktaは、暗号化されたアサーション、共有ACS URLまたは信頼固有のACS URL、構成可能なクロックスキューに加え、インバウンドSAMLの次の構成可能な署名アルゴリズム要件もサポートします。

対応するアルゴリズム

説明

暗号化

インバウンドSAMLは、暗号化されたSAMLアサーションを透過的にサポートします。IdPは、Oktaからの公開証明書と、次のXML暗号化アルゴリズムのいずれかを使用して暗号化できます。

ダイジェスト

署名

正規化

変換

セットアップ情報

セットアップの完了に必要な一部の情報は、フォームの入力時点で利用できない場合があります。以下の図は、典型的な情報フローを示します。

たとえば、OktaでIdPを設定する場合、ACS URLとオーディエンスがIdPで設定されるまで、発行者、ログインURL、証明書がIdPから利用できない場合があります。この情報も、Oktaが構成されるまで利用できません。

セットアップの推奨事項

IdPの設定でOktaからの情報が必要な場合、Oktaの発行者のテキストを入力して、OktaのログインURLでhttps:urlと入力します。OktaにIDプロバイダーを追加します。次に、Oktaで利用可能になったACS URLとオーディエンスを使用して、IdPを設定します。最後に、Oktaで設定したIDプロバイダーを編集して、適切な発行者とログインURLの情報を入力します。

関連項目

SAML 2.0 IdPの追加