Access Gateway内のIDプロバイダーを構成する
アプリを保護する前に、IDプロバイダー(IdP)をAccess Gateway向けに構成しておく必要があります。
IdPには、Oktaに対応したWorkforce Identity Cloud、またはAuth0に対応したCustomer Identity Cloudを利用できます。Access GatewayとIdPの統合には、SAMLおよびREST APIが使用されます。
次のタスクを実行するには、アプリ管理者およびorg管理者としての権限が必要です。
|
Workforce Identity CloudをIdPとして使用する |
Customer Identity CloudをIdPとして使用する |
|---|---|
Access GatewayのOktaサービスアカウントを作成する。
Oktaでは、 Access Gateway APIキーを作成する際に、専用のサービスアカウントを作成・使用することを推奨します。Oktaは、キーを作成したユーザーの下でAPIキーによって実行されたすべてのアクションをログに記録します。
- Admin Consoleで、に進みます。
- [Add person(ユーザーの追加)]をクリックします。
- サービスアカウント名を入力します。
- [Username(ユーザー名)]と[Primary Email (プライマリメールアドレス)]のプレースホルダーメールを入力します。たとえば、service.admin@domain.com。
サービスアカウントとユーザーアカウントの間の干渉を回避するには、Username(ユーザー名)とPrimary email(プライマリ メール)のプレースホルダー値を使用します。Secondary email(セカンダリメール)としてメールアドレスを入力します。次に、パスワードリセットのリクエスト必要な場合、サービス アカウントをアクティブ化および維持することができます。
- [Secondary email(セカンダリメール)]には管理者のメールアドレスを入力します。
- [Send user activation email now(ユーザーのアクティベーションメールを今すぐ送信)]を選択し、[Save(保存)]をクリックします。[Pending user action(ユーザーアクション保留中)]というステータスでアカウントが作成されます。
- Admin Consoleでに移動します。
- [Add administrator(管理者を追加)]をクリックします。
- [Select admin(管理者を選択)]ドロップダウンからサービスアカウントを選択します。
- [Role(ロール)]ドロップダウンから[Application Administrator(アプリケーション管理者)]を選択します。
- [Edit(編集)]をクリックし、アカウント管理に使用するアプリケーションを構成します。[Constrain this role to the entire organization(このロールを組織全体に関連付ける)]を選択します。これにより、アカウントがすべてのアプリケーションを管理できるようにするか、アカウントが管理できるアプリケーションのリソースセットを作成できます。「標準ロールへのリソース割り当ての編集」を参照してください。
- [Save resource set(リソースセットを保存)]をクリックします。
- [Add assignment(割り当てを追加)]をクリックします。
- [Role(ロール)]ドロップダウンから[Organization Administrator(組織管理者)]を選択します。
- [Save(保存)]をクリックします。
- Okta管理者アカウントからサインアウトします。
- Oktaから届いたアクティベーションメールを開き、アクティベーションリンクをクリックします。
- アカウントのパスワードと秘密の質問を入力します。
- 新しいサービスアカウントの資格情報でサインインします。
Okta APIトークンを作成する
- Admin Consoleで、に移動します。
- [Create Token(トークンを作成する)]をクリックします。
- トークの目的を特定するトークン名を入力します。
- [Create Token(トークンを作成する)]をクリックします。
- [Token Value(トークン値)]をコピーし、安全な場所(パスワードマネージャーなど)に保存します。ウィンドウを閉じた後は、トークンを再度表示することはできません。
- [Ok, got it(了解)]をクリックします。
- Workforce Identity CloudをAccess Gateway向けのIdPとして使用するプロシージャを続けます。
Auth0クライアントIDとクライアントシークレットを作成する
- Customer Identity Cloudのドキュメントに記載されている手順を実行します。
- Customer Identity CloudをAccess Gateway向けのIdPとして使用するプロシージャを続けます。
Access GatewayにIdPを構成する
Access Gateway向けのIdPには、Workforce Identity CloudとCustomer Identity Cloudのいずれかを利用できます。
Workforce Identity CloudをAccess Gateway向けのIdPとして使用する
- ブラウザーでAccess Gateway管理者UIコンソールに移動し、管理者としてサインインします。
- 設定タブを選択します。
- IDプロバイダーペインをクリックします。
- [+(追加)]をクリックし、[Workforce Identity Cloud]を選択します。
- 次の情報を入力します。
- [Name(名前)]:IdPのわかりやすい名前を入力します。
- [Okta Org]:org名(orgname.oktapreview.com、orgname.okta.comなど)またはカスタムドメインを入力します。orgの管理者インターフェイスURL(orgname-admin.okta.comなど)を使用しないでください。
- [Okta API Token(Okta APIトークン)]:Okta APIトークンを作成したら、Okta orgからコピーしたトークン値を貼り付けます。
- [Not Validated(検証されていません)]をクリックします。このラベルは、Okta APIトークンが正常に検証されると[Validated(検証済)]に変わります。
- [Okay(OK)]をクリックします。設定タブに表示されるIdPのステータスは[Valid(有効)]である必要があります。
- トポロジタブをクリックします。入力した名前でラベル付けされたIdPのアイコンが表示されます。
- IdPのアイコンをクリックします。
Customer Identity CloudをAccess Gateway向けのIdPとして使用する
Customer Identity Cloudのユーザーは、使用するプラットフォーム向けのAccess Gatewayバイナリをダウンロードできます。
- ブラウザーでAccess Gateway管理者UIコンソールに移動し、管理者としてサインインします。
- 設定タブを選択します。
- IDプロバイダーペインをクリックします。
- [+(追加)]をクリックし、[Customer Identity Cloud]を選択します。
- 次の情報を入力します。
- [Name(名前)]:IdPのわかりやすい名前を入力します。
- [Host(ホスト)]:Auth0ホストの名前を入力します(例:https://orgname.sus.auth0.com)。
- [Tenant(テナント)]:Auth0テナントの名前を入力します(例:orgname.sus.auth0.com)。
- [OAuth Configuration(OAuthの構成)]セクションに次の情報を入力します。
- [Client ID(クライアントID)]フィールドにAuth0クライアントIDを貼り付けます。
- [Client Secret(クライアントシークレット)]フィールドにクライアントシークレットを貼り付けます。
- クライアントIDとクライアントシークレットの一時的な保存場所として使っていたテキストエディターから、これらの情報を削除します。
- [Not Validated(未検証)]をクリックします。クライアントIDとクライアントシークレットの値の有効性が確認されると、このラベルは[Validated(検証済)]に変わります。
- [Okay(OK)]をクリックします。設定タブに表示されるIdPのステータスは[Valid(有効)]である必要があります。
- トポロジタブをクリックします。入力した名前でラベル付けされたIdPのアイコンが表示されます。
- IdPのアイコンをクリックします。