アプリケーション統合ウィザードのSAMLフィールドのリファレンス
一般設定
| アプリのロゴ(App logo) | Okta orgで統合に使用するロゴをアップロードします。ロゴは、PNG、JPG、GIF形式のいずれかで、1MB未満である必要があります。 背景が透明で横向きのPNG画像を使用すると、最適な効果を得られます。アップスケールを防ぐために、420 x 120ピクセル以上の解像度を使用してください。 |
| アプリの可視性(App visibility) | アプリケーションのアイコンをユーザーに表示しない(Do not display application icon to users)を選択して、統合がエンドユーザーに表示されないようにします。 Okta Mobileアプリでアプリケーションのアイコンを表示しない(Do not display application icon in the Okta Mobile app)を選択して、エンドユーザーのデバイスでOkta Mobileアプリストアに統合が表示されないようにします。 |
SAML設定
| 一般 | |
|---|---|
| シングル サインオンURL(Single sign-on URL) |
POST操作でSAMLアサーションが送信される宛先。このURLは必須であり、サービスプロバイダー(SP)のデフォルトのAssertion Consumer Service(ACS)URL値として機能します。このURLは、IDプロバイダー(IdP)が開始するサインオンリクエストで常に使用されます。 注:
シングルサインオンURL(Single-sign on URL)にアンダースコア(_)を含めることはできません。 受信者のURLおよび移動先URLに使用(Use this for Recipient URL and Destination URL)はデフォルトで選択されます。この設定は、受信者のURLと移動先URLの両方で同じURLを使用します。統合が個別のURLを必要とするときは、このチェックボックスをオフにして、次のフィールドに値を入力します。
|
| Audience URI (SP Entity ID)(対象URI(SPエンティティID)) | SAMLアサーションの対象オーディエンス。これは通常、アプリのエンティティIDです。 |
| デフォルトのRelayState(Default RelayState) | ユーザーがSAMLを使用してSPに正常にサインインした後、ユーザーをリダイレクトするリソースのURL。RelayStateを指定する必要があるかどうかを確認するには、SPのドキュメントをご覧ください。ほとんどの場合、このフィールドは空白のままにしておくことができます。 |
| 名前IDのフォーマット(Name ID format) | SAMLレスポンスで送信するユーザー名の形式。 アプリのドキュメントでフォーマットが明記されていない場合は、デフォルト(指定なし(Unspecified))を使用します。 注:
SAMLリクエストに |
| アプリケーションユーザー名の形式(Application username format) | ユーザーのアプリのユーザー名に使用するデフォルト値。 注:
セキュリティを維持するために、エンドユーザーが編集できるフィールドを使用してアプリのユーザー名を定義しないでください。 |
| 次でアプリケーションのユーザー名を更新:(Update application username on) | アプリのユーザー名をいつ更新するかを選択します。 作成と更新(Create and update)は、すべてのアプリケーションのユーザー名(Application username)タイプで使用されるデフォルトです。アプリケーションのユーザー名(Application username)がカスタム(Custom)である場合は、作成のみ(Create only)でアプリのユーザー名を更新することを選択できます。この設定により、カスタムユーザー名の一部を定義するフィールドの値が変更されたときでさえもユーザー名の変更が防止されます。 |
詳細設定を表示(Show Advanced Settings)を展開すると、次の設定にアクセスできます。
| 高度な設定 | |
|---|---|
| レスポンス(Response) | SAML認証レスポンスメッセージにIdPがデジタル署名するかどうかを選択します。 |
| アサーション署名(Assertion Signature) | SAMLアサーションがデジタル署名されるかどうかを選択します。 |
| 署名アルゴリズム(Signature Algorithm) | SAMLアサーションとレスポンスへのデジタル署名に使用される署名アルゴリズム。 |
| ダイジェストアルゴリズム(Digest Algorithm) | SAMLアサーションとレスポンスへのデジタル署名に使用されるダイジェストアルゴリズム。 |
| アサーション暗号化(Assertion Encryption) | SAMLアサーションが暗号化されるかどうかを選択します。 |
| 暗号化アルゴリズム(Encryption Algorithm) | SAMLアサーションの暗号化に使用する暗号化アルゴリズム。 このフィールドは、アサーション暗号化(Assertion Encryption)が暗号化済み(Encrypted)(Encrypted.)に設定されている場合に表示されます。 |
| 鍵配送アルゴリズム(Key Transport Algorithm) | SAMLアサーションの暗号化に使用する鍵配送アルゴリズム。 このフィールドは、アサーション暗号化(Assertion Encryption)が暗号化済み(Encrypted)(Encrypted.)に設定されている場合に表示されます。 |
| 暗号化証明書(Encryption Certificate) | SAMLアサーションの暗号化に使用する公開鍵証明書(PEMフォーマット)を含むファイル。 このフィールドは、アサーション暗号化(Assertion Encryption)が暗号化済み(Encrypted)(Encrypted.)に設定されている場合に表示されます。 |
| 署名証明書(Signature Certificate) | SAMLサインインリクエストとシングルログアウト(SLO)リクエストを検証するために使用される公開鍵証明書(PEMフォーマット)を含むファイル。 |
| シングルログアウトを有効化(Enable Single Logout) | ユーザーが構成済みカスタムアプリとOktaの両方からシングルクリックでサインアウトできるようにします(ただし、開いているその他のアプリからはサインアウトできません)。「OASISセキュリティマークアップ言語(SAML)バージョン2.0用プロファイル」の「シングルログアウトのプロフィール」のセクションを参照してください。 このチェックボックスは、署名証明書(Signature Certificate)をアップロードすると表示されます。 注:
SLOが有効になっている場合は、アプリのSAMLセットアップ手順にIDプロバイダーのシングルログアウトURL(Identity Provider Single Logout URL)のフィールドを含める必要があります。 |
| シングルログアウトURL(Single Logout URL) | サインアウトレスポンスの送信先を指定します。 このフィールドは、シングルログアウトの有効化(Enable Single Logout)が選択されている場合に表示されます。(.) |
| SP発行者(SP Issuer) | サービスプロバイダーの発行者ID。 このフィールドは、シングルログアウトの有効化(Enable Single Logout)が選択されている場合に表示されます。(.) |
| 署名付きリクエスト(Signed Requests) | Signature Certificate(署名証明書)を使用してすべてのSAMLリクエストを検証する場合に選択します。SAMLリクエストからのペイロードが検証され、Oktaがリクエストからシングルサインオン(SSO)URLを動的に読み取ります。 このチェックボックスは、署名証明書(Signature Certificate)をアップロードすると表示されます。 注:
署名付きリクエスト(Signed Requests)が有効なときは、SAMLリクエストに |
| その他のリクエスト可能なSSO URL(Other Requestable SSO URLs) | SP起点のサインインフローでの使用を目的としています。アプリの統合で使用されるその他のリクエスト可能なSSOノードのACS URLを入力します。このオプションにより、アプリのSAMLレスポンスの送信先を選択できます。各ACS URLエンドポイントを一意に識別するURLおよびインデックスを指定します。 一部のSAML認証リクエストメッセージは、インデックスまたはURLを指定しません。この場合、SAMLレスポンスはシングルサインオンURL(Single sign on URL)フィールドに指定されているACSに送信されます。 署名付きリクエスト(Signed Requests)を有効にすると、Oktaは過去に定義された静的SSO URLを削除し、代わりに署名付きSAMLリクエストからSSO URLを読み取ります。静的SSO URLと動的SSO URLの両方を指定することはできません。 |
| アサーションインラインフック(Assertion Inline Hook) | アサーションインラインフックは、作成した外部サービスへのOktaからのアウトバウンドコールです。Oktaが認証リクエストに応じてSAMLアサーションを生成すると、このタイプのインラインフックがトリガーされます。SAMLアサーションを使用するアプリにアサーションを送信する前に、Oktaは外部サービスを呼び出します。外部サービスは、アサーションに属性を追加するコマンド、または既存の属性を変更するコマンドで応答できます。 Oktaで外部サービスを呼び出すには、ドロップダウンリストからサービスのエンドポイントを選択します。このオプションがNone (disabled)(なし(無効))に設定されたままの場合、アサーションインラインフックがトリガーされても外部サービスは呼び出されません。「インラインフック」、「SAMLアサーションインラインフックリファレンス」、および「SAMLアサーションインラインフックの有効化」を参照してください。 |
| 認証コンテキストクラス(Authentication context class) | SAMLアサーションの認証制限のタイプ。詳細については、SPのドキュメントを参照してください。 |
| 強制認証に準拠(Honor Force Authentication) | SAMLリクエストのForceAuthn属性がtrueに設定されている場合は、はい(Yes)に設定してユーザーに資格情報の入力を求めます。資格情報の入力は、デスクトップSSOを通じて正しくサインインしたユーザーにも求められます。このオプションがいいえ(No)に設定されている場合、この属性は無視されます。 |
| SAML発行者ID(SAML Issuer ID) | 発行者IDを上書きする必要がある場合にこのオプションを使用します。1つのアプリで複数のサインインを行う場合、上書きが必要です。このオプションは、追加の属性を必要とする統合がある場合にも使用できます。デフォルト値のhttp://www.okta.com/$(org.externalKey)を上書きする発行者IDを入力します。外部キーは、現在動作しているアプリインスタンスの設定手順から取得します。 |
| 最大アプリセッションライフタイム(Maximum app session lifetime) |
統合しているアプリにユーザーがサインインする際の最大セッションライフタイムを構成します。 SAMLアサーションに値を含めるには、値をレスポンスで送信(Send value in response)を選択します。 最初のフィールドに数を入力し、ドロップダウンリストから時間単位を選択します。 |
| 属性ステートメント([Attribute Statements)任意(])(Attribute Statements (optional)) |
統合のカスタム属性ステートメントを定義します。これらのステートメントは、アプリと共有するSAMLアサーションに挿入されます。属性ステートメントを定義するを参照してください。 注:
早期アクセスのエンタイトルメントSAMLアサーションとOIDCクレーム(Entitlement SAML Assertions and OIDC Claims)機能を有効にしている場合は、アプリ統合を編集するときにこのオプションが表示されます。 |
| グループ属性ステートメント([Group Attribute Statements)任意(])(Group Attribute Statements (optional)) | Okta orgでグループを使用してユーザーを分類している場合、アプリと共有するSAMLアサーションにグループ属性ステートメントを追加できます。「グループ属性ステートメントを定義する」を参照してください。 注:
早期アクセスのエンタイトルメントSAMLアサーションとOIDCクレーム(Entitlement SAML Assertions and OIDC Claims)機能を有効にしている場合は、アプリ統合を編集するときにこのオプションが表示されます。 |
関連項目