OIDCアプリ統合

OpenID Connect(OIDC)は、OAuth 2.0認証プロトコルを基盤に構築された業界標準の認証レイヤーです。OAuth 2.0プロトコルがスコープによる制限付きのアクセス・トークンによってセキュリティーを提供し、OIDCがユーザー認証とシングル・サインオン(SSO)機能を提供します。OIDCのワークフローでは、OktaはIDプロバイダー(IdP)の機能を果たすこともあれば、サービス・プロバイダー(SP)の機能を果たすこともあり、その役割はユースケースに応じて異なります。

管理者はOINカタログから、OIDCを機能として使用するアプリ統合をフィルターを活用して検索できます。OIDC対応アプリ統合が管理者によって組織に追加され、エンド・ユーザーに割り当てられると、Okta End-User Dashboardに新規アイコンとして表示されます。

IDプロバイダーとしてのOkta

Oktaは、OIDCアプリケーションを外部アプリケーションにSSOを提供するIdPとして統合することができます。またアプリケーションのセキュリティーを向上させるMFAプロンプトもサポートしています。

OIDC IDプロバイダーとしてのOkta

  1. ユーザーがクライアント・アプリケーションへのアクセスをリクエストします。
  2. アプリケーションは認証のためにユーザーをOktaにリダイレクトし、ユーザー認証を委任します。アプリケーションはユーザー・セッションを確立するため、Oktaにトークンをリクエストします。
  3. OktaはIdPとして機能し、多要素認証(MFA)とSSO資格情報を使用してユーザーを認証します。ユーザーの検証に成功すると、ユーザーにアプリケーションへのアクセス権を認めるよう求めます。
  4. ユーザーのアクセス権が認められると、Oktaは、アプリケーションがアクセスできるユーザーID情報などを格納したIDトークンを生成します。
  5. Oktaは認証に成功したユーザーをアプリケーションに返します。

サービス・プロバイダーとしてのOkta

OktaはSPとして機能することもできます。その場合はIBM Tivoli Access ManagerやOracle Access Manager、CA SiteMinderなど他のSSOソリューションによるシングル・サインオン認証を利用します。

このシナリオでは、ユーザーがOktaにサインインしようとすると、認証のために外部のIdPにリダイレクトされます。ユーザーが正常に認証されると外部IdPがOIDCトークンを返します。このトークンはその後ユーザーのブラウザーに渡され、ユーザーはOktaサービスにアクセスできるようになります。

OIDCサービス・プロバイダーとしてのOkta

  1. ユーザーがブラウザーでOktaを開き、クラウドまたはオンプレミスのアプリ統合にサインインします。
  2. OktaはSPとして機能し、ユーザー認証については外部IdPに委任します。
  3. 外部IdPがOktaの認可サーバーとして機能します。
  4. IdPはユーザーを認証し、IDトークンをOktaに返します。
  5. Oktaは外部IdPが発行したOIDCトークンを検証します。必要に応じて、ユーザー認証にMFAを適用します。同じく必要があれば、ジャストインタイム・プロビジョニングを利用してユーザーをOkta内に作成できます。
注

エンド・ユーザーがインターネット経由でOktaにアクセスできる限りは、ユーザー、クライアント・アプリケーション、外部IdPのいずれもイントラネット上のファイアウォールの内側に配置できます。

関連項目

AIWを使用してOIDCアプリ統合を作成する

OpenID Connect入門 - Oktaブログ

OAuth 2.0とOpenID Connectの概要 - Okta開発者