Cross App Accessを構成する
早期アクセスリリース
Cross App Accessは、サードパーティアプリによるデータの共有方法を簡素化します。複雑な同意プロセスをエンドユーザーから取り除き、Okta Admin Consoleに移行します。Cross App Accessが構成されている場合、エンドユーザーはOAuthの同意フローに進まずに他のSaaSアプリから自身のデータにアクセスできます。代わりに、管理者がOkta Admin Consoleでユーザーの代理でこの接続を管理します。これにより、orgのセキュリティが強化され、エンドユーザーのエクスペリエンスが向上します。
メリット
- セキュリティ強化:Okta管理者がデータ共有に対する制御を一元化したことで、最小権限が強制され、不正アクセスのリスクが低減されました。
- ユーザーエクスペリエンス改善:エンドユーザーにOAuthの同意ページが繰り返し表示されることがなくなり、よりスムーズで効率的なワークフローを実現できます。
- 統合の簡素化:Cross App Accessによって、Okta環境でサードパーティアプリを接続するプロセスが合理化されます。
仕組み
この機能を使用し始める前に、以下の概念について理解を深めておく必要があります。
- 要求アプリ:保護対象リソースにアクセスするアプリ。
- リソースアプリ:保護対象リソースを所有するアプリ。
- 管理対象接続:要求アプリとリソースアプリとの方向性を示す関係。Okta管理者がこの関係を管理します。
- IDアサーション認可付与:OIDC IDトークンをID-JAGトークンと交換するトークン交換フロー。要求アプリがID-JAGトークンを使用して、リソースアプリからのアクセストークンをリクエストします。このアクセストークンは保護対象リソースをリクエストする際に使用されます。
次の条件が満たされるとCross App Accessを構成できます。
- 要求アプリとリソースアプリが、OINでOIDC機能を使用して統合されていて、Cross App Accessが有効になっている。
- アプリにOAuth関係が確立されている。つまり、要求アプリにリソースアプリの認可サーバー内のOAuthクライアントがある。
- Oktaが要求アプリとリソースアプリのIdPであり、両方のアプリがSSOを使用する。