SAMLアプリ統合

Security Assertion Markup Language(SAML)はXMLベースのプロトコルであり、シングル・サインオン(SSO)と、アプリケーション間での認証および認可データの交換に使用されます。SAMLのワークフローでは、OktaはIDプロバイダー(IdP)の機能を果たすこともあれば、サービス・プロバイダー(SP)の機能を果たすこともあり、その役割はユースケースに応じて異なります。

SAMLはSSOおよびエンタープライズ・セキュリティーを実現するプロトコルとして、大抵の組織で採用されています。SAMLの主な魅力は、組織に対する攻撃対象の範囲を狭め、顧客のサインイン・エクスペリエンスを向上させることができる点です。

ユーザーがSAMLを使用してアプリケーションにサインインすると、IdPはブラウザーにSAMLアサーションを送信し、それがSPに渡されます。多くの場合、IdPは、SAMLアサーションを発行する前に(たとえば多要素認証(MFA)を使用して)ユーザーを検証します。

SAMLアサーションは認証、属性、認可という3種類のステートメントを持つXMLファイルです。認証ステートメントは、サブジェクトがいつどのように認証されるかを扱います。属性ステートメントは、グループ・メンバーシップや階層内でのロールなど、ユーザーに関する詳細を提供します。最後の認可ステートメントは、異なるリソース間でユーザーに与えられている認可レベルをSPに通知します。このように、SAMLにはこれらの機能によってユーザーに複数の権限を許可し、プロセス内でアプリケーションを保護するという、認証だけに留まらない役割があります。

管理者はOINカタログから、SAMLを機能として使用するアプリ統合をフィルターを活用して検索できます。SAML対応アプリ統合が管理者によって組織に追加され、エンド・ユーザーに割り当てられると、End-User Dashboardに新規アイコンとして表示されます。

IDプロバイダーとしてのOkta

OktaはSAML 2.0アプリケーションを、外部アプリケーションにSSOを提供するIdPとして統合することができます。またアプリケーションのセキュリティーを向上させるMFAプロンプトもサポートしています。

Oktaに登録されている外部アプリケーションへのアクセスをリクエストすると、ユーザーはOktaにリダイレクトされます。OktaはIdPとしてSAMLアサーションをブラウザーに配信します。ブラウザーはユーザーをSPと認証するためにアサーションを使用します。

SAML IDプロバイダーとしてのOkta

  1. ユーザーはOktaによって保護されているアプリケーションに対し、SAMLを使用してSSOアクセスを試みます。
  2. クライアント・アプリケーションはSAMLサービス・プロバイダーとして機能し、ユーザー認証についてはOktaに委任します。クライアント・アプリケーションはユーザー・セッションを確立するため、OktaにSAMLアサーションを送信します。
  3. OktaがSAML IdPとしてSSOとMFAを使用してユーザーを認証します。
  4. Oktaはエンド・ユーザーのブラウザーを介してクライアント・アプリケーションにアサーションを返します。
  5. クライアント・アプリケーションは返されたアサーションの正当性を検証したうえで、ユーザーにクライアント・アプリケーションへのアクセスを許可します。

サービス・プロバイダーとしてのOkta

OktaはSPとして機能することもできます。その場合はIBM Tivoli Access ManagerやOracle Access Manager、CA SiteMinderなど他のSSOソリューションによる認証を利用します。

このシナリオでは、ユーザーがOktaにサインインしようとすると、認証のために外部のIdPにリダイレクトされます。ユーザーが正常に認証されると外部IdPがSAMLアサーションを返します。このトークンはその後ユーザーのブラウザーに渡され、ユーザーはOktaサービスにアクセスできるようになります。

SAMLサービス・プロバイダーとしてのOkta

  1. ユーザーがブラウザーでOktaを開き、クラウドまたはオンプレミスのアプリ統合にサインインします。
  2. OktaはSPとして機能し、ユーザー認証については外部IdPに委任します。
  3. 外部IdPによってユーザーが認証されます。
  4. IdPがSAMLアサーションをOktaに返します。
  5. Oktaは外部IdPが発行したSAMLトークンを検証し、必要に応じてMFAを適用します。同じく必要があれば、ジャストインタイム・プロビジョニングを利用してユーザーをOkta内に作成できます。
注

エンド・ユーザーがインターネット経由でOktaにアクセスできる限りは、ユーザー、クライアント・アプリケーション、外部IdPのいずれもイントラネット上のファイアウォールの内側に配置できます。

関連項目

AIWを使用してSAML統合を作成する

SAMLを理解する - Okta開発者

初心者向けSAMLガイド - Oktaサポート

SAML:SSOのしくみ - Oktaブログ