Access Gateway内のIDプロバイダーを構成する

アプリを保護する前に、IDプロバイダー(IdP)をAccess Gateway向けに構成しておく必要があります。

IdPには、Oktaに対応したWorkforce Identity Cloud、またはAuth0に対応したCustomer Identity Cloudを利用できます。Access GatewayとIdPの統合には、SAMLおよびREST APIが使用されます。

次のタスクを実行するには、アプリ管理者およびorg管理者としての権限が必要です。

Workforce Identity CloudをIdPとして使用する

Customer Identity CloudをIdPとして使用する

  1. Access GatewayのOktaサービスアカウントを作成する
  2. Okta APIトークンを作成する
  3. Workforce Identity CloudをAccess Gateway向けのIdPとして使用する
  1. Auth0クライアントIDとクライアントシークレットを作成する
  2. Customer Identity CloudをAccess Gateway向けのIdPとして使用する

Access GatewayOktaサービスアカウントを作成する。

Oktaでは、 Access Gateway APIキーを作成する際に、専用のサービスアカウントを作成・使用することを推奨します。Oktaは、キーを作成したユーザーの下でAPIキーによって実行されたすべてのアクションをログに記録します。

  1. Admin Consoleで、[Directory(ディレクトリ)][People(ユーザー)]に進みます。
  2. [Add person(ユーザーの追加)]をクリックします。
  3. サービスアカウント名を入力します。
  4. [Username(ユーザー名)][Primary Email (プライマリメールアドレス)]のプレースホルダーメールを入力します。たとえば、service.admin@domain.com

    サービスアカウントとユーザーアカウントの間の干渉を回避するには、Username(ユーザー名)Primary email(プライマリ メール)のプレースホルダー値を使用します。Secondary email(セカンダリメール)としてメールアドレスを入力します。次に、パスワードリセットのリクエスト必要な場合、サービス アカウントをアクティブ化および維持することができます。

  5. [Secondary email(セカンダリメール)]には管理者のメールアドレスを入力します。
  6. [Send user activation email now(ユーザーのアクティベーションメールを今すぐ送信)]を選択し、[Save(保存)]をクリックします。[Pending user action(ユーザーアクション保留中)]というステータスでアカウントが作成されます。
  7. Admin Console[Security(セキュリティ)] [Administrators(管理者)]に移動します。
  8. [Add administrator(管理者を追加)]をクリックします。
  9. [Select admin(管理者を選択)]ドロップダウンからサービスアカウントを選択します。
  10. [Role(ロール)]ドロップダウンから[Application Administrator(アプリケーション管理者)]を選択します。
  11. [Edit(編集)]をクリックし、アカウント管理に使用するアプリケーションを構成します。[Constrain this role to the entire organization(このロールを組織全体に関連付ける)]を選択します。これにより、アカウントがすべてのアプリケーションを管理できるようにするか、アカウントが管理できるアプリケーションのリソースセットを作成できます。「標準ロールへのリソース割り当ての編集」を参照してください。
  12. [Save resource set(リソースセットを保存)]をクリックします。
  13. [Add assignment(割り当てを追加)]をクリックします。
  14. [Role(ロール)]ドロップダウンから[Organization Administrator(組織管理者)]を選択します。
  15. [Save(保存)]をクリックします。
  16. Okta管理者アカウントからサインアウトします。
  17. Oktaから届いたアクティベーションメールを開き、アクティベーションリンクをクリックします。
  18. アカウントのパスワードと秘密の質問を入力します。
  19. 新しいサービスアカウントの資格情報でサインインします。

Okta APIトークンを作成する

  1. Admin Consoleで、[Security(セキュリティ)][API]に移動します。
  2. [Create Token(トークンを作成する)]をクリックします。
  3. トークの目的を特定するトークン名を入力します。
  4. [Create Token(トークンを作成する)]をクリックします。
  5. [Token Value(トークン値)]をコピーし、安全な場所(パスワードマネージャーなど)に保存します。ウィンドウを閉じた後は、トークンを再度表示することはできません。
  6. [Ok, got it(了解)]をクリックします。
  7. Workforce Identity CloudをAccess Gateway向けのIdPとして使用するプロシージャを続けます。

Auth0クライアントIDとクライアントシークレットを作成する

  1. Customer Identity Cloudのドキュメントに記載されている手順を実行します。
  2. Customer Identity CloudをAccess Gateway向けのIdPとして使用するプロシージャを続けます。

Access GatewayにIdPを構成する

Access Gateway向けのIdPには、Workforce Identity CloudとCustomer Identity Cloudのいずれかを利用できます。

Workforce Identity CloudをAccess Gateway向けのIdPとして使用する

  1. ブラウザーでAccess Gateway管理者UIコンソールに移動し、管理者としてサインインします。
  2. 設定タブを選択します。
  3. IDプロバイダーペインをクリックします。
  4. [+(追加)]をクリックし、[Workforce Identity Cloud]を選択します。
  5. 次の情報を入力します。
    • [Name(名前)]:IdPのわかりやすい名前を入力します。
    • [Okta Org]:org名(orgname.oktapreview.comorgname.okta.comなど)またはカスタムドメインを入力します。orgの管理者インターフェイスURL(orgname-admin.okta.comなど)を使用しないでください。
    • [Okta API Token(Okta APIトークン)]:Okta APIトークンを作成したら、Okta orgからコピーしたトークン値を貼り付けます。
  6. [Not Validated(検証されていません)]をクリックします。このラベルは、Okta APIトークンが正常に検証されると[Validated(検証済)]に変わります。
  7. [Okay(OK)]をクリックします。設定タブに表示されるIdPのステータスは[Valid(有効)]である必要があります。
  8. トポロジタブをクリックします。入力した名前でラベル付けされたIdPのアイコンが表示されます。
  9. IdPのアイコンをクリックします。

Customer Identity CloudをAccess Gateway向けのIdPとして使用する

Customer Identity Cloudのユーザーは、使用するプラットフォーム向けのAccess Gatewayバイナリをダウンロードできます。

  1. ブラウザーでAccess Gateway管理者UIコンソールに移動し、管理者としてサインインします。
  2. 設定タブを選択します。
  3. IDプロバイダーペインをクリックします。
  4. [+(追加)]をクリックし、[Customer Identity Cloud]を選択します。
  5. 次の情報を入力します。
    • [Name(名前)]:IdPのわかりやすい名前を入力します。
    • [Host(ホスト)]:Auth0ホストの名前を入力します(例:https://orgname.sus.auth0.com)。
    • [Tenant(テナント)]:Auth0テナントの名前を入力します(例:orgname.sus.auth0.com)。
  6. [OAuth Configuration(OAuthの構成)]セクションに次の情報を入力します。
    • [Client ID(クライアントID)]フィールドにAuth0クライアントIDを貼り付けます。
    • [Client Secret(クライアントシークレット)]フィールドにクライアントシークレットを貼り付けます。
  7. クライアントIDとクライアントシークレットの一時的な保存場所として使っていたテキストエディターから、これらの情報を削除します。
  8. [Not Validated(未検証)]をクリックします。クライアントIDとクライアントシークレットの値の有効性が確認されると、このラベルは[Validated(検証済)]に変わります。
  9. [Okay(OK)]をクリックします。設定タブに表示されるIdPのステータスは[Valid(有効)]である必要があります。
  10. トポロジタブをクリックします。入力した名前でラベル付けされたIdPのアイコンが表示されます。
  11. IdPのアイコンをクリックします。