認証サーバーを構築する
API Access Managementには、Oktaでのカスタム認証サーバーの構築が含まれる場合があります。これらのカスタムサーバーを使用し、APIエンドポイントを保護するための承認ポリシーを作成して適用します。「使用可能な認証サーバーのタイプ」を参照してください。
認証サーバーは、「ステージング」や「本番」などのセキュリティ境界を定義します。各認証サーバー内で、独自のOAuthスコープ・クレーム・アクセスポリシーを定義できます。これにより、アプリとAPIが中央承認ポイントを使用して、属性変換用のOkta Universal Directory、エンドユーザー向けのAdaptive MFA制御、システムイベントの記録、分析データの生成など、OktaのID機能を活用することができます。
中核となる認証サーバーは、単なるOAuth 2.0トークンミンティングエンジンです。各認証サーバーには、一意の発行者URIとトークン用の独自の署名鍵があります。これにより、セキュリティドメイン間の適切な境界が維持されます。
認証サーバーは、OpenID Connectプロバイダーとしても機能します。つまり、認証サーバーのエンドポイントから、アクセストークンに加えてIDトークンも要求することができます。
開始する前に
OktaのOrg 認証サーバーまたはカスタム認証サーバーのどちらを使用する必要があるかは、どのようにして確認しますか?
次の条件に該当する場合にカスタムサーバーを使用します。
- Okta以外のリソースを保護する必要がある。
- ユーザーが従業員、パートナー、エンドユーザー、または他の同様の専門分野かどうかに応じて、異なる承認ポリシーが必要。
従業員、パートナー、ユーザーがすべてシングルサインオンに同じ認証ポリシーを使用できる場合は、組み込みのOrg 認証サーバーを試してください。
クライアントとOkta間のカスタム認証を管理するには:
- クライアントアプリのスコープとクレームを特定し、Oktaに登録します。
- 1つ以上の認証サーバーを作成し、アプリで想定されるスコープとクレームを一致させるよう定義します。
クライアントアプリはスコープ名を認識し、認証サーバーで定義されたクレームを想定している必要があります。
手順
|
タスク |
説明 |
|---|---|
| 認証サーバーを作成する |
カスタム認証サーバーを使用してOktaとクライアントアプリケーション間のアクセスを管理します。 |
| APIアクセススコープを作成する | スコープは、APIエンドポイントで実行できる高レベルの操作を表します。 |
| APIアクセスクレームを作成する | トークンクレームは、件名または別の件名に関する記述です(名前、ロール、メールアドレスなど)。 |
| アクセスポリシーを作成する | アクセスポリシーは、クライアントが認証サーバーを何に対してどのような方法で使用できるかを制御します。 |
|
API呼び出しを発行して認証サーバーをテストします。また、トークンのプレビューも可能です。 |
|
|
キーはデフォルトで自動的にローテーションされます。ただし、必要に応じて、管理者が手動でキーをローテーションできるように認証サーバーを設定できます。 |
|
|
サーバーの削除方法。 |