アプリケーション統合ウィザードのSAMLフィールドのリファレンス
一般設定
| アプリのロゴ | Okta orgで統合に使用するロゴをアップロードします。ロゴは、PNG、JPG、GIF形式のいずれかで、1MB未満である必要があります。 背景が透明で横向きのPNG画像を使用すると、最適な効果を得られます。アップスケールを防ぐために、420 x 120ピクセル以上の解像度を使用してください。 |
| アプリの可視性 | [Do not display application icon to users(アプリケーションのアイコンをユーザーに表示しない)]を選択して、統合がエンドユーザーに表示されないようにします。 |
SAML設定
| 一般 | |
|---|---|
| [Single sign-on URL(シングル サインオンURL)] |
POST操作でSAMLアサーションが送信される宛先。このURLは必須であり、サービスプロバイダー(SP)のデフォルトのAssertion Consumer Service(ACS)URL値として機能します。IDプロバイダー(IdP)は、サインオンリクエストを開始するときに、このURLを常に使用します。
[Use this for Recipient URL and Destination URL(受信者のURLおよび移動先URLに使用)]はデフォルトオンになっています。この設定は、受信者のURLと移動先URLの両方で同じURLを使用します。統合で別々のURLが必要な場合は、このチェックボックスをオフにして、次のフィールドに値を入力してください。
|
| [Audience URI (SP Entity ID)(対象URI(SPエンティティID))] | SAMLアサーションの対象オーディエンス。これは通常、アプリケーションのエンティティIDです。 |
| [Default RelayState(デフォルトのRelayState)] | ユーザーがSAMLを使用してSPに正常にサインインした後、ユーザーをリダイレクトするリソースのURL。RelayStateを指定する必要があるかどうかを確認するには、SPのドキュメントをご覧ください。ほとんどの場合、このフィールドは空白のままにしておくことができます。 |
| [Name ID format(名前IDのフォーマット)] | SAMLレスポンスで送信するユーザー名の形式。 アプリケーションのドキュメントでフォーマットが明記されていない場合は、デフォルト([Unspecified(任意)])を使用します。 SAMLリクエストにNameIdPolicyが含まれるときは、[Name ID format(名前IDのフォーマット)]がそれと一致する必要があります。 |
| [Application username(アプリケーションのユーザー名)] | ユーザーのアプリケーションのユーザー名に使用するデフォルト値。 セキュリティを維持するために、エンドユーザーが編集できるフィールドを使用してアプリケーションのユーザー名を定義しないでください。 |
| [Update application username on(次でアプリケーションのユーザー名をアップデート:)] | アプリケーションのユーザー名をいつ更新するかを選択します。 [Create and update(作成と更新)]は、すべての[Application username(アプリケーションのユーザー名)]タイプで使用されるデフォルトです。[Application username(アプリケーションのユーザー名)]が[Custom(カスタム)]である場合は、[Create only(作成のみ)]でサプリケーションのユーザー名を更新することを選択できます。この設定により、カスタムユーザー名の一部を定義するフィールドの値が変更されたときでさえもユーザー名の変更が防止されます。 |
[Show Advanced Settings(詳細設定を表示)]を展開すると、次の設定にアクセスできます。
| 高度な設定 | |
|---|---|
| [Response(レスポンス)] | SAML認証レスポンスメッセージにIdPがデジタル署名するかどうかを選択します。 |
| [Assertion Signature(アサーション署名)] | SAMLアサーションがデジタル署名されるかどうかを選択します。 |
| [Signature Algorithm(署名アルゴリズム)] | SAMLアサーションおよびレスポンスにデジタル署名するために使用される署名アルゴリズム。 |
| [Digest Algorithm(ダイジェストアルゴリズム)] | SAMLアサーションおよびレスポンスにデジタル署名するために使用されるダイジェストアルゴリズム。 |
| [Assertion Encryption(アサーション暗号化)] | SAMLアサーションが暗号化されるかどうかを選択します。 |
| [Encryption Algorithm(暗号化アルゴリズム)] | SAMLアサーションの暗号化に使用する暗号化アルゴリズム。 このフィールドは、[Assertion Encryption(アサーション暗号化)]が[Encrypted(暗号化済み)]に設定されている場合に表示されます。 |
| [Key Transport Algorithm(鍵配送アルゴリズム)] | SAMLアサーションの暗号化に使用する鍵配送アルゴリズム。 このフィールドは、[Assertion Encryption(アサーション暗号化)]が[Encrypted(暗号化済み)]に設定されている場合に表示されます。 |
| [Encryption Certificate(暗号化証明書)] | SAMLアサーションの暗号化に使用する公開鍵証明書(PEMフォーマット)を含むファイル。 このフィールドは、[Assertion Encryption(アサーション暗号化)]が[Encrypted(暗号化済み)]に設定されている場合に表示されます。 |
| [署名証明書] | SAMLサインインリクエストとシングルログアウト(SLO)リクエストを検証するために使用される公開鍵証明書(PEMフォーマット)を含むファイル。 |
| [Enable Single Logout(シングルログアウトを有効化)] |
ユーザーが構成済みカスタムアプリとOktaの両方からシングルクリックでサインアウトできるようにします(ただし、開いているその他のアプリからはサインアウトできません)。『Profiles for the OASIS Security Mark Up Language (SAML) version 2.0』の「Single Logout Profile(シングルログアウトのプロフィール)」のセクションを参照してください。 このチェックボックスは、[Signature Certificate(署名証明書)]をアップロードすると表示されます。 SLOが有効になっている場合は、アプリのSAMLセットアップ手順に[Identity Provider Single Logout URL(IDプロバイダーのシングルログアウトURL)]のフィールドを含める必要があります。 |
| [Single Logout URL(シングルログアウトURL)] | サインアウトレスポンスの送信先を指定します。 このフィールドは、[Enable Single Logout(シングルログアウトの有効化)]が選択されている場合に表示されます。 フロントチャネルシングルログアウトの早期アクセス機能を有効にした場合、この構成は変更されています。「SAML統合でSLOを有効化する(フロントチャネルオプションを使用))」を参照してください。 |
| [SP Issuer(SP発行者)] | サービスプロバイダーの発行者ID。 このフィールドは、[Enable Single Logout(シングルログアウトの有効化)]が選択されている場合に表示されます。 |
| [Signed Requests(署名付きリクエスト)] | [Signature Certificate(署名証明書)]を使用してすべてのSAMLリクエストを検証する場合に選択します。SAMLリクエストからのペイロードが検証され、Oktaがリクエストからシングルサインオン(SSO)URLを動的に読み取ります。 このチェックボックスは、[Signature Certificate(署名証明書)]をアップロードすると表示されます。 [Signed Requests(署名付きリクエスト)]が有効なときは、SAMLリクエストに NameIDPolicyが含まれている必要があります。 |
| [Other Requestable SSO URLs(その他のリクエスト可能なSSO URL)] | SP起点のサインインフローでの使用を目的としています。アプリの統合で使用されるその他のリクエスト可能なSSOノードのACS URLを入力します。このオプションにより、アプリケーションのSAMLレスポンスの送信先を選択できます。各ACS URLエンドポイントを一意に識別するURLおよびインデックスを指定します。 一部のSAML認証リクエストメッセージは、インデックスまたはURLを指定しません。この場合、SAMLレスポンスは[Single sign on URL(シングルサインオンURL)]フィールドに指定されているACSに送信されます。 [Signed Requests(署名付きリクエスト)]を有効にすると、Oktaは過去に定義された静的SSO URLを削除し、代わりに署名付きSAMLリクエストからSSO URLを読み取ります。静的SSO URLと動的SSO URLの両方を指定することはできません。 |
| [Assertion Inline Hook(アサーションインラインフック)] | アサーションインラインフックは、作成した外部サービスへのOktaからのアウトバウンドコールです。Oktaが認証リクエストに応じてSAMLアサーションを生成すると、このタイプのインラインフックがトリガーされます。SAMLアサーションを使用するアプリにアサーションを送信する前に、Oktaは外部サービスを呼び出します。外部サービスは、アサーションに属性を追加するコマンド、または既存の属性を変更するコマンドで応答できます。 Oktaで外部サービスを呼び出すには、ドロップダウンリストからサービスのエンドポイントを選択します。このオプションが[None (disabled)(なし(無効))]に設定されたままの場合、アサーションインラインフックがトリガーされても外部サービスは呼び出されません。「インラインフック」、「SAMLアサーションインラインフックリファレンス」、および「SAMLアサーションインラインフックの有効化」を参照してください。 |
| [Authentication context class(認証コンテキストクラス)] | SAMLアサーションの認証制限のタイプ。詳細については、SPのドキュメントを参照してください。 |
| [Honor Force Authentication(強制認証に準拠)] | SAMLリクエストのForceAuthn属性がtrueに設定されている場合は、[Yes(はい)]に設定してユーザーに資格情報の入力を求めます。資格情報の入力は、デスクトップSSOを通じて正しくサインインしたユーザーにも求められます。このオプションが[No(いいえ)]に設定されている場合、この属性は無視されます。 |
| [SAML Issuer ID(SAML発行者ID)] | 発行者IDを上書きする必要がある場合にこのオプションを使用します。1つのアプリケーションで複数のサインインを行う場合、上書きが必要です。このオプションは、追加の属性を必要とする統合がある場合にも使用できます。デフォルト値のhttp://www.okta.com/$(org.externalKey)を上書きする発行者IDを入力します。[External Key(外部キー)]は、現在動作しているアプリケーションインスタンスの設定手順から取得します。 |
| [Attribute Statements(属性ステートメント)](オプション) | 統合のカスタム属性ステートメントを定義します。これらのステートメントは、アプリと共有するSAMLアサーションに挿入されます。「属性ステートメントを定義する」を参照してください。 |
| [Group Attribute Statements(グループ属性ステートメント)](オプション) | Okta orgでグループを使用してユーザーを分類している場合、アプリと共有するSAMLアサーションにグループ属性ステートメントを追加できます。「ループ属性ステートメントを定義する」を参照してください。 |