シングルサインオンオプションを構成する

アプリ統合でシングルサインオン(SSO)方法を設定または変更する際に使用できるオプションは、アプリ統合でサポートされているアクセスプロトコルによって異なります。

このタスクの管理者ロールについて

このタスクを実行する管理者は、Okta orgのスーパー管理者である必要があります。

アプリ管理者は、担当するアプリ統合へのユーザーアクセスを構成できます。

はじめに

管理者はOkta Admin Consoleにサインインしている必要があります。

サインオンオプションを構成する

アプリ統合を初めて構成する場合でも、後でこれらのオプションを変更する必要が生じた場合でも、使用できるSign on methods(サインオン方法)は、アプリ統合でサポートされているアクセスプロトコルによって異なります。

OpenID Connect

OpenID Connect(OIDC)アプリ統合の場合、OktaはOAuth 2.0プロトコルを使用してユーザーの認証情報を交換し、SSOを有効にします。通常、OIDCアプリ統合には、構成をガイドする手順へのリンクがあります。

SAML 2.0、WS-Federation

[SAML 2.0]または[WS-Federation]のいずれかを選択すると、Oktaは連携認証済みアプローチをユーザー認証に適用します。これらの方法を使用して構成されたアプリ統合には、通常、構成をガイドする手順へのリンクがあります。

SAMLアプリケーションでは、アプリケーション統合に必要となる可能性があるデータが[Metadata details(メタデータの詳細)]セクションに含まれます。これには、Metadata URL(メタデータURL)Sign on URL(サインオンURL)などが含まれます。詳しくは、リンク先の手順(「View Setup Instructions(設定手順を表示))を参照してください。

ブックマーク専用

[Bookmark-only(ブックマーク専用)]サインインオプションは、アプリ統合でサポートされている最もシンプルなモードです。エンドユーザーがアプリ統合を起動すると、Oktaは外部アプリケーションのサインインページを開きますが、SSOは実行しません。ユーザー名またはパスワードの情報は外部アプリケーションに渡されないため、構成は必要ありません。

サインオンなし

[No Sign On(サインオンなし)]サインインオプションは、サインイン情報を必要としないモバイルアプリまたはアプリケーションを追加あるいは構成する場合に使用できます。

Secure Web Authentication

[Secure Web Authentication](SWA)サインインオプションの場合、Oktaは各ユーザーの外部アプリケーションにサインインします。この方法の選択によって、ユーザーが外部アプリケーションに直接サインインできなくなることはありません。アプリ統合は、次のSWAサインイン構成のいずれかを使用して設定できます。

ユーザーがユーザー名とパスワードを設定する

このオプションを使用すると、ユーザーはユーザー名とパスワードを選択できます。

このオプションでは、次の点に注意してください。

  • ユーザーがアプリ統合から割り当てを解除され、その後再割り当てされた場合、ユーザー名とパスワードを再入力する必要があります。ユーザーは、次の方法でアプリ統合から割り当てを解除される可能性があります。
    • Oktaでディアクティベートされる。
    • アプリ統合に割り当てられたグループから削除される。
    • 外部アプリケーションで非アクティブ化された後、インポートに表示されない。
    • ユーザーが属する組織単位(OU)の選択が解除されている。

管理者がユーザー名とパスワードを設定する

このオプションは、最も堅牢なレベルの管理者コントロールを提供します。これにより、管理者はアプリ統合のすべてのユーザー名とパスワードを設定できます。その後、エンドユーザーと認証情報が共有されることはありません。このオプションを選択した場合、機密性の高いアプリケーションの認証情報へのユーザーアクセスを遮断できます。ユーザーが外部アプリケーションのパスワードをリセットする代替方法を使用できないようにする必要があります。また、ユーザーとの能動的なコミュニケーションが必要ないため、管理者がOktaユーザーに新しい難読化されたパスワードを提供しなければならない場合にも役立ちます。

特定のSWAアプリ統合のユーザー名とパスワードを設定するには、次の手順を実行します。

  1. Oktaの外部で、割り当てる外部アプリケーションにアクセスします。
  2. アプリケーション内でユーザー名とパスワードを設定します。
  3. Oktaに戻り、OINでアプリ統合にアクセスするか、アプリ統合を作成します。
  4. アプリ統合の[Sign On(サインオン)]タブ(または手順)を選択します。
  5. [Administrator sets username and password(管理者がユーザー名とパスワードを設定する)]を選択し、[Next(次へ)]をクリックします。
  6. アプリ統合をユーザーに割り当て、ユーザー名とパスワードを割り当てます。

このオプションでは、次の点に注意してください。

  • 管理者が作成したパスワードは、最初に作成したときしか表示できません。設定後、パスワードは管理者に表示されなくなります。パスワードを変更するには、まず外部アプリケーションでリセットしてから、Oktaでリセットします。
  • 選択したアプリ統合が、確立されたOktaグループに以前割り当てられていて、その後このサインオン方法をサポートするように変更された場合、管理者は各グループメンバーのユーザー名とパスワードを手動で更新する必要があります。
  • このオプションを選択した場合、[Password reveal(パスワードを表示)]機能は無効になります。エンドユーザーがパスワードにアクセスできないためです。

管理者がユーザー名を設定し、ユーザーがパスワードを設定する

このオプションを使用すると、管理者はユーザーに代わって外部アプリケーションアカウントを設定できますが、ユーザーも(Oktaパスワードとは別の)アプリケーションパスワードを設定および変更できます。

  1. Oktaの外部で、割り当てる外部アプリケーションにアクセスします。
  2. アプリケーション内で各ユーザーのユーザー名を設定します。
  3. Oktaに戻り、OINでアプリ統合にアクセスするか、アプリ統合を作成します。
  4. アプリ統合の[Sign On(サインオン)]タブ(または手順)を選択します。
  5. [Administrator sets username, user sets password(管理者がユーザー名を設定し、ユーザーがパスワードを設定する)]を選択し、[Next(次へ)]をクリックします。
  6. このアプリ統合をユーザーに割り当てます。

管理者がユーザー名を設定する。パスワードはOktaのパスワードと同じ

このオプションを使用すると、管理者はユーザーに代わって外部アプリケーションアカウントを設定でき、既存のOktaパスワードを使用できます。これを機能させるには、管理者が外部アプリケーションにユーザーアカウントを追加し、Oktaとのプロビジョニング統合によりユーザー名を関連付ける必要があります。このオプションの構成後、エンドユーザーはユーザー名またはパスワードの入力を求められることなくアプリ統合にアクセスできます。

  1. Oktaの外部で、割り当てる外部アプリケーションにアクセスします。
  2. アプリケーション内で各ユーザーのユーザー名とパスワードを設定します。
  3. Oktaに戻り、OINでアプリ統合にアクセスするか、アプリ統合を作成します。
  4. アプリ統合の[Sign On(サインオン)]タブ(または手順)を選択します。
  5. [Administrator sets username, password is the same as user's Okta password(管理者がユーザー名を設定する。パスワードをOktaのパスワードと同じにする)]を選択し、[Next(次へ)]をクリックします。
  6. このアプリ統合をユーザーに割り当てます。

ユーザーは管理者が設定した1つのユーザー名およびパスワードを共有する

Organization 内の複数のユーザーと単一のアプリケーションライセンスまたは単一のアプリケーションアカウントを共有する場合は、このオプションを選択します。

共有アプリケーションの共有認証情報を設定するには、次の手順を実行します。

  1. Oktaの外部で、割り当てる外部アプリケーションにアクセスします。
  2. アプリケーション内でユーザー名とパスワードを設定します。
  3. Oktaに戻り、OINでアプリ統合にアクセスするか、アプリ統合を作成します。
  4. アプリ統合の[Sign On(サインオン)]タブ(または手順)を選択します。
  5. [Users share a single username and password set by the administrator(管理者が設定した単一のユーザー名とパスワードをユーザーが共有する)]を選択し、[Next(次へ)]をクリックします。
  6. このアプリ統合をユーザーに割り当てます。

このオプションを選択した場合、[Password reveal(パスワード表示)]機能は有効にできますが、共有パスワードは管理者にしか表示されません。エンドユーザーは共有パスワードを表示できません。

次も参照

既存のアプリ統合を追加する

カスタムアプリ統合を作成する

アプリ統合の設定を構成する