インバウンドSAMLのカスタマイズ・オプション
インバウンドSAMLを使用してユーザーをOktaに接続する場合、いくつかのカスタマイズ・オプションがあります。
- ユーザーは追加のプロビジョニングなしでOktaにSSOできます。つまり、ユーザーはOktaでマスターにされます。
- IDプロバイダー(IdP)によって管理されるジャスト・イン・タイム(JIT)プロビジョニングを使用して、ユーザーをOktaにプロビジョニングできます。トグルを使用すれば、IdPごとの信頼に基づいてJITプロビジョニングを有効または無効にできます。
- JITを使用してユーザーをグループに割り当てることができます。
- SAML IdPとOktaの間の自動アカウント・リンクを有効または無効にできます。Oktaユーザーが指定されたグループのメンバーであるかどうかに基づいて、自動アカウント・リンクを制限することもできます。
インバウンドSAMLはUniversal Directory(UD)上に構築されているため、受信したアサーションからリッチな属性をOktaに保存できます。必要な数のIDプロバイダーを定義し、プロファイル・エディターを使用して各プロバイダーに無制限の数の属性を定義します。入力できるのは、名、姓、メール、電話番号の属性だけではありません。
Oktaは、暗号化されたアサーション、共有ACS URLまたは信頼固有のACS URL、構成可能なクロック誤差、およびインバウンドSAMLの以下の構成可能な署名アルゴリズム要件もサポートしています。
サポートされているアルゴリズム | 説明 |
|---|---|
| 暗号化 | インバウンドSAMLは、暗号化されたSAMLアサーションを透過的にサポートします。IdPは、Oktaの公開証明書と以下のXML暗号化アルゴリズムを使用して暗号化できます。 |
| ダイジェスト | |
署名 | |
正規化 | |
変換 |
設定情報
フォームの入力時に、設定を完了するために必要な特定の情報が利用できない場合があります。次の図は、一般的な情報の流れを示しています。
たとえば、OktaでIdPを設定する場合、ACS URLとオーディエンスがIdPで設定されるまで、発行者、ログインURL、証明書がIdPから利用できない場合があります。この情報もOktaが構成されるまで利用できません。
設定の推奨事項
情報を取得する前にIdPがOktaからの情報を設定で必要とする場合、発行者のテキストをOktaに入力し、OktaのログインURLにhttps:urlと入力します。OktaにIDプロバイダーを追加します。次に、Oktaで使用可能になったACS URLとオーディエンスを使用してIdPを設定します。最後に、Oktaで設定したIDプロバイダーを編集し、適切な発行者およびログインURL情報を入力します。