OIDCアプリの統合

OpenID Connect(OIDC)は、OAuth 2.0認証プロトコルを基盤に構築された業界標準の認証レイヤーです。OAuth 2.0プロトコルがスコープによる制限付きのアクセストークンによってセキュリティを提供し、OIDCがユーザー認証とシングルサインオン(SSO)機能を提供します。OIDCのワークフローでは、OktaはIDプロバイダー(IdP)の機能を果たすこともあれば、サービスプロバイダー(SP)の機能を果たすこともあり、その役割はユースケースに応じて異なります。

管理者はOINカタログから、OIDCを機能として使用するアプリ統合をフィルターを活用して検索できます。OIDC対応アプリ統合が管理者によってorgに追加され、エンドユーザーに割り当てられると、Okta End-User Dashboardに新規アイコンとして表示されます。

IDプロバイダーとしてのOkta

OIDCアプリケーションは、外部アプリケーションにSSOを提供するIdPとして統合できます。また、アプリセキュリティを向上させるMFAプロンプトもサポートされます。

OIDC IDプロバイダーとしてのOkta

  1. ユーザーがクライアントアプリケーションへのアクセスを要求します。
  2. アプリケーションは認証のためにユーザーをOktaにリダイレクトし、ユーザー認証を委任します。ユーザーセッションを確立するために、アプリケーションがOktaにトークンをリクエストします。
  3. IdPとしてのOktaが、多要素認証(MFA)とSSO資格情報を使用してユーザーを認証します。ユーザーの検証に成功すると、ユーザーにアプリケーションへのアクセス権を認めるよう求めます。
  4. ユーザーのアクセス権が認められると、Oktaは、アプリケーションがアクセスできるユーザーID情報などを格納したIDトークンを生成します。
  5. Oktaが認証済みユーザーをアプリケーションに返します。

サービスプロバイダーとしてのOkta

OktaはSPとして機能することもできます。その場合はIBM Tivoli Access ManagerやOracle Access Manager、CA SiteMinderなどのSSOソリューションによるシングルサインオン認証を利用します。

このシナリオでは、ユーザーがOktaにサインインしようとすると、認証のために外部のIdPにリダイレクトされます。ユーザーが正常に認証されると、外部IdPはOIDCトークンを返します。このトークンがユーザーのブラウザーに渡され、ユーザーはOktaサービスにアクセスできるようになります。

OIDCサービスプロバイダーとしてのOkta

  1. ユーザーがブラウザーでOktaを開き、クラウドまたはオンプレミスのアプリの統合にサインインします。
  2. SPとしてのOktaが、ユーザー認証を外部IdPに委任します。
  3. 外部IdPが、Oktaの認可サーバーとして機能します。
  4. IdPがユーザーの認証を行い、IDトークンをOktaに返します。
  5. Oktaは外部IdPが発行したOIDCトークンを検証します。必要に応じて、ユーザー認証にMFAを適用します。同じく必要があれば、ジャストインタイムプロビジョニングを利用してユーザーをOkta内に作成できます。

エンドユーザーがインターネット経由でOktaにアクセスできる場合、ユーザー・クライアントアプリケーション・外部IdPのいずれもイントラネット上のファイアウォールの内側に配置できます。

関連項目

OIDCアプリ統合を作成する

OpenID Connect入門 - Oktaブログ

OAuth 2.0とOpenID Connectの概要 - Okta開発者