Access Gateway内のIDプロバイダーを構成する
アプリを保護する前に、IDプロバイダー(IdP)をAccess Gateway向けに構成しておく必要があります。
IdPには、Oktaに対応したWorkforce Identity Cloud、またはAuth0に対応したCustomer Identity Cloudを利用できます。Access GatewayとIdPの統合には、SAMLおよびREST APIが使用されます。
次のタスクを実行するには、アプリ管理者およびorg管理者としての権限が必要です。
|
Workforce Identity CloudをIdPとして使用する |
Customer Identity CloudをIdPとして使用する |
|---|---|
|
|
Access GatewayのOktaサービスアカウントを作成する
Oktaでは、 Access Gateway APIキーを作成する際に、専用のサービスアカウントを作成・使用することを推奨します。Oktaは、キーを作成したユーザーの下でAPIキーによって実行されたすべてのアクションをログに記録します。
-
Admin Consoleで、に進みます。
- ユーザーの追加(Add person)をクリックします。
- サービスアカウント名を入力します。
- ユーザー名(Username)とPrimary Email (プライマリメールアドレス)(Primary email)のプレースホルダーメールを入力します。たとえば、
service.admin@domain.com。注:サービスアカウントとユーザーアカウントの間の干渉を回避するには、ユーザー名(Username)とプライマリ メール(Primary email)のプレースホルダー値を使用します。セカンダリメール(Secondary email)としてメールアドレスを入力します。次に、パスワードリセットのリクエスト必要な場合、サービス アカウントをアクティブ化および維持することができます。
- セカンダリメール(Secondary email)には管理者のメールアドレスを入力します。
- ユーザーのアクティベーションメールを今すぐ送信(Send user activation email now)を選択し、保存(Save)をクリックします。ユーザーアクション保留中(Pending user action)というステータスでアカウントが作成されます。
-
Admin Consoleで、に移動します。
- 管理者を追加(Add administrator)をクリックします。
- 管理者を選択(Select admin)ドロップダウンからサービスアカウントを選択します。
- ロール(Role)(Application Administrator)ドロップダウンからアプリケーション管理者(Application Administrator)(Role)を選択します。
- 編集(Edit)をクリックし、アカウント管理に使用するアプリケーションを構成します。このロールを組織全体に関連付ける(Constrain this role to the entire organization)を選択します。これにより、アカウントがすべてのアプリケーションを管理できるようにするか、アカウントが管理できるアプリケーションのリソースセットを作成できます。「標準ロールへのリソース割り当てを編集する」を参照してください。
- リソースセットを保存(Save resource set)をクリックします。
- 割り当てを追加(Add assignment)をクリックします。
- ロール(Role)(Organization Administrator)ドロップダウンから組織管理者(Organization Administrator)(Role)を選択します。
- 保存(Save)をクリックします。
- Okta管理者アカウントからサインアウトします。
- Oktaから届いたアクティベーションメールを開き、アクティベーションリンクをクリックします。
- アカウントのパスワードと秘密の質問を入力します。
- 新しいサービスアカウントの資格情報でサインインします。
Okta APIトークンを作成する
-
Admin Consoleで、に移動します。
- トークンを作成する(Create Token)をクリックします。
- トークの目的を特定するトークン名を入力します。
- トークンを作成する(Create Token)(Create token)をクリックします。
- トークン値(Token Value)をコピーし、安全な場所(パスワードマネージャーなど)に保存します。ウィンドウを閉じた後は、トークンを再度表示することはできません。
- 了解(Ok, got it)をクリックします。
- Workforce Identity CloudをAccess Gateway 向けのIdPとして使用する手順を続けます。
Auth0クライアントIDとクライアントシークレットを作成する
- Customer Identity Cloudのドキュメントに記載されている手順を実行します。
- Customer Identity CloudをAccess Gateway 向けのIdPとして使用する手順を続けます。
Access GatewayにIdPを構成する
Access Gateway向けのIdPには、Workforce Identity CloudとCustomer Identity Cloudのいずれかを利用できます。
Workforce Identity CloudをAccess Gateway向けのIdPとして使用する
- ブラウザーでAccess Gateway管理者UIコンソールに移動し、管理者としてサインインします。
- 設定(Settings)タブを選択します。
- IDプロバイダー(Identity Providers)ペインをクリックします。
- +をクリックし、 Workforce Identity Cloud を選択します。
- 次の情報を入力します。
- 名前(Name):IdPのわかりやすい名前を入力します。
- Okta Org:org名(
orgname.oktapreview.com、orgname.okta.comなど)またはカスタムドメインを入力します。orgの管理者インターフェイスURL(orgname-admin.okta.comなど)を使用しないでください。 - Okta APIトークン(Okta API Token):Okta APIトークンを作成したら、Okta orgからコピーしたトークン値を貼り付けます。
- 検証されていません(Not Validated)をクリックします。このラベルは、Okta APIトークンが正常に検証されると検証済(Validated)に変わります。
- Okay(OK)をクリックします。設定(Settings)タブに表示されるIdPのステータスは有効(Valid)である必要があります。
- トポロジ(Topology)タブをクリックします。入力した名前でラベル付けされたIdPのアイコンが表示されます。
- IdPのアイコンをクリックします。
Customer Identity CloudをAccess Gateway向けのIdPとして使用する
Customer Identity Cloudのユーザーは、使用するプラットフォーム向けのAccess Gatewayバイナリをダウンロードできます。
- ブラウザーでAccess Gateway管理者UIコンソールに移動し、管理者としてサインインします。
- 設定(Settings)タブを選択します。
- IDプロバイダー(Identity Providers)ペインをクリックします。
- +をクリックし、 Customer Identity Cloud を選択します。
- 次の情報を入力します。
- 名前(Name):IdPのわかりやすい名前を入力します。
- ホスト(Host):Auth0ホストの名前を入力します(例:
https://orgname.sus.auth0.com)。 - テナント(Tenant):Auth0テナントの名前を入力します(例:
orgname.sus.auth0.com)。
- OAuthの構成(OAuth Configuration)セクションに次の情報を入力します。
- クライアントID(Client ID)フィールドにAuth0クライアントIDを貼り付けます。
- クライアントシークレット(Client Secret)フィールドにクライアントシークレットを貼り付けます。
- クライアントIDとクライアントシークレットの一時的な保存場所として使っていたテキストエディターから、これらの情報を削除します。
- 未検証(Not Validated)をクリックします。クライアントIDとクライアントシークレットの値の有効性が確認されると、このラベルは検証済(Validated)に変わります。
- Okay(OK)をクリックします。設定(Settings)タブに表示されるIdPのステータスは有効(Valid)である必要があります。
- トポロジ(Topology)タブをクリックします。入力した名前でラベル付けされたIdPのアイコンが表示されます。
- IdPのアイコンをクリックします。