認証サーバーを構築する

API Access Managementには、Oktaでのカスタム認証サーバーの構築が含まれる場合があります。これらのカスタムサーバーを使用し、APIエンドポイントを保護するための承認ポリシーを作成して適用します。「使用可能な認証サーバーのタイプ」を参照してください。

認証サーバーは、「ステージング」や「本番」などのセキュリティ境界を定義します。各認証サーバー内で、独自のOAuthスコープ、クレーム、アクセスポリシーを定義できます。これにより、アプリとAPIが中央承認ポイントを使用して、属性変換用のOkta Universal Directory、エンドユーザー向けのAdaptive MFA制御、システムイベントの記録、分析データの生成など、OktaのID機能を活用することができます。

中核となる認証サーバーは、単なるOAuth 2.0トークンミンティングエンジンです。各認証サーバーには、一意の発行者URIとトークン用の独自の署名鍵があります。これにより、セキュリティドメイン間の適切な境界が維持されます。

認証サーバーは、OpenID Connectプロバイダーとしても機能します。つまり、認証サーバーのエンドポイントから、アクセストークンに加えてIDトークンも要求することができます。

開始する前に

OktaのOrg 認証サーバーまたはカスタム認証サーバーのどちらを使用する必要があるかは、どのようにして確認しますか?

次の条件に該当する場合にカスタムサーバーを使用します。

  • Okta以外のリソースを保護する必要がある。
  • ユーザーが従業員、パートナー、エンドユーザー、または他の同様の専門分野かどうかに応じて、異なる承認ポリシーが必要。

従業員、パートナー、ユーザーがすべてシングルサインオンに同じ認証ポリシーを使用できる場合は、組み込みのOrg 認証サーバーを試してください。

クライアントとOkta間のカスタム認証を管理するには:

  • クライアントアプリのスコープとクレームを特定し、Oktaに登録します。
  • 1つ以上の認証サーバーを作成し、アプリで想定されるスコープとクレームを一致させるよう定義します。

クライアントアプリはスコープ名を認識し、認証サーバーで定義されたクレームを想定している必要があります。

手順

タスク

説明

認証サーバーを作成する

カスタム認証サーバーを使用してOktaとクライアントアプリケーション間のアクセスを管理します。

APIアクセススコープを作成する スコープは、APIエンドポイントで実行できる高レベルの操作を表します。
APIアクセスクレームを作成する トークンクレームは、件名または別の件名に関する記述です(名前、ロール、メールアドレスなど)。
アクセスポリシーを作成する アクセスポリシーは、クライアントが認証サーバーを何に対してどのような方法で使用できるかを制御します。

認証サーバーの構成をテストする

API呼び出しを発行して認証サーバーをテストします。また、トークンのプレビューも可能です。

署名鍵をローテートする

キーはデフォルトで自動的にローテーションされます。ただし、必要に応じて、管理者が手動でキーをローテーションできるように認証サーバーを設定できます。

認証サーバーを削除する

サーバーの削除方法。

関連項目

APIレート制限

信頼済みオリジンの構成

Okta APIトークンを管理する