SAML IDプロバイダーの追加

SAML IDプロバイダー(IdP)の追加は、インバウンドSAMLを構成するプロセスの最初のステップです。

このタスクを開始する

  1. 管理コンソールで、[セキュリティー] > に移動します [IDプロバイダー]
  2. [IDプロバイダーを追加]をクリックし、[SAML 2.0 IdPを追加]を選択します。
  3. [一般設定]を構成します。 [設定手順を表示]リンクが表示された場合は、まずそれをクリックします。一部のプロバイダーには独自の詳細な手順があります。
    [名前]このIdPに付ける名前。
    [プロトコル]SAML 2.0のみがサポートされています。
  1. [認証の設定]を構成します。
    [IdPユーザー名]

    ユーザー名が含まれる、SAMLアサーションのエンティティー。ドロップダウン・リストには、デフォルト値のsaml.subjectNameIdが含まれています。

    式を入力して値を再フォーマットできます。たとえば、SAMLアサーションのユーザー名がjohn.doe@mycompany.okta.comの場合、mycompany.oktaendpointA.mycompanyで置き換えることを指定して、ユーザー名john.doe@endpointA.mycompany.comに変換されるようにすることができます。式を入力する場合は、Okta式言語の構文を使用します。

    [フィルター]

    ユーザー名フィルターとして式を入力する場合のみ、[フィルター]を選択します。フィルターを指定すると、認証前のユーザー名の選択が制限されます。

    [照合対象]

    変換されたユーザー名が認証されるOktaのフィールドを選択します。

    [アカウント・リンク・ポリシー]OktaがユーザーのIdPアカウントを一致するOktaアカウントに自動的にリンクするかどうかを指定します。
    [自動リンクの制限]アカウントの自動リンクが有効になっている場合、指定したユーザー・グループにリンクを制限するかどうかを指定します。
    [一致が見つからない場合]

    ジャスト・イン・タイム(JIT)プロビジョニングで新しいユーザー・アカウントを作成するか、エンド・ユーザーをOktaサインイン・ページにリダイレクトするかを指定します。

    最初のオプションでは、JITプロビジョニングを2つの場所で有効にする必要があることに注意してください。

    1. このモーダルで、[新しいユーザーを作成(JIT)]をクリックします。

    2. [設定 ] > [カスタマイズ] > [ジャスト・イン・タイム・プロビジョニング]で、[ジャスト・イン・タイム・プロビジョニングを有効化]をクリックします。

  1. [JITの設定]を構成します。
    [プロファイル・ソース]このボックスを選択すると、既存のユーザーがこのSAMLアサーションの情報で更新されます。このボックスが選択されていない場合、プロファイル情報はプッシュされません。

    [再アクティベーションの設定]

    これらのオプションは、[既存のユーザーの属性を更新]を選択した場合に表示されます。

    [Oktaで非アクティブ化されたユーザーを再アクティブ化]:アプリで再アクティブ化されたときに、非アクティブ化されたOktaユーザーを再アクティブ化するかどうかを管理者が選択できるようにします。

    [Oktaで一時停止されたユーザーの一時停止を解除]:アプリで再アクティブ化したときに一時停止中のOktaユーザーの一時停止を解除するかどうかを管理者が選択できるようにします。

    [グループの割り当て]

    SAMLアサーションのユーザーを追加するグループを指定します。ドロップダウン・メニューからいずれかのオプションを選択します。オプションごとに異なる情報が必要です。

    • [なし]:認証されたユーザーをどのグループにも割り当てません。ほかの情報は必要ありません。

    • [特定のグループに割り当てる][特定のグループ]フィールドにリストされたグループに各ユーザーを割り当てます。フィールドには1つ以上のグループを入力する必要があります。

    • [見つからないグループにユーザーを追加]:ユーザーは、まだメンバーになっていないSAMLアサーションのグループに追加されます(ユーザーはすでにメンバーになっているグループから削除されません)。 [SAML属性名]フィールドに、値がグループ・メンバーシップを表すSAML属性の名前を入力します(SAMLアサーションの属性ステートメント内)。これらの値は[グループ・フィルター]フィールドで指定されたグループと比較され、一致する値によって、JIT時にユーザーが割り当てられるグループが決まります。[グループ・フィルター]フィールドは、セキュリティー許可リストとして機能します。IdPでユーザーに動的に割り当てるグループを一覧表示します。これにより、特定のグループに割り当てるユーザーを制御できます。[SAML属性名]を入力し、[グループ・フィルター]フィールドに1つ以上のOktaグループをリストする必要があります。

    • [グループの完全同期]:このオプションは、[SAML属性名]で指定された属性によって表されるグループにユーザーを割り当てます(そのグループが[グループ・フィルター]にリストされている場合)。

    [SAML属性名]フィールドの属性で表される値と一致しないOktaグループのメンバーである場合、ユーザーはOktaグループから削除されることに注意してください。

  1. [SAMLプロトコルの設定]を構成します。
    [IdP発行者URI] IdPからの発行者URI。
    [IdPシングル・サインオンURL] IdPからのサインオンURL。[要求の署名]オプションを選択してauthN要求に署名し、[宛先]フィールド(「詳細設定」を参照)で宛先を指定しなかった場合、Oktaは自動的にauthN要求をIdPシングル・サインオンURLに送信します。
    [IdP署名証明書] アサーションの署名に使用されるIdPからの証明書。
  1. 任意:[詳細設定]を構成します。
    [要求のバインディング]SAML AuthNRequestメッセージをIdPに送信するために、Oktaによって使用されるSAML認証要求プロトコルのバインディング。通常はHTTP POST。
    [要求の署名]Oktaから送信されるSAML AuthnRequestメッセージに署名するかどうかを指定します。このオプションを選択してauthN要求に署名すると、Oktaは自動的に[IdPシングル・サインオンURL]フィールドに指定されたURLにauthN要求を送信します。
    [要求の署名アルゴリズム]IdPに送信されるSAML authNメッセージの署名に使用される署名アルゴリズムを指定します。
    [応答の署名検証]

    受信応答を検証するときにOktaが受け入れる応答の署名のタイプを指定します:[応答]、[アサーション]、あるいは[応答またはアサーション]。

    [応答の署名アルゴリズム]

    IdPによって発行されたSAMLメッセージおよびアサーションを検証するときの最小署名アルゴリズムを指定します:[SHA-1]または[SHA-256]。

    [宛先]

    SAML authN要求で送信される宛先属性。宛先を入力せず、[要求の署名]オプションを選択してauthN要求に署名した場合、Oktaは[IdPシングル・サインオンURL]フィールドで指定されたURL(SSO URL)として宛先属性を自動的に送信します。

    [Okta Assertion Consumer Service URL]

    信頼固有のAssertion Consumer Service(ACS)URLを使用するか、組織全体で共有されたURLを使用するかを指定します。

    [最大クロック誤差]

    アサーションの有効期間を指定します。数値を入力し、単位を選択します。認証プロセスは、現在の時刻とアサーション・タイムスタンプの時刻との差を計算し、差が最大クロック誤差値以下であることを確認します。

  1. [IDプロバイダーを追加]をクリックします。

Oktaメタデータを送信する

IdPを作成したら、[メタデータをダウンロード]をクリックし、このプロバイダーのOkta SAMLメタデータにアクセスします。IdPの指示に従ってメタデータを提供します。

次の手順

IDプロバイダーのメタデータの追加