Okta/Okta Org2OrgのSAML統合では現在、次の機能をサポートしています。
記載されている機能の詳細についてはOkta Glossary(Okta用語集)をご覧ください。
Org2Orgコネクター・アプリケーションは、Oktaの組織から別の組織にユーザーをプッシュ/マッチするために使用されます。このアプリケーションを構成することで、スポーク[ソース]のOkta組織から ハブ[ターゲット]のOkta組織にSAMLを通じてユーザーが認証されます。Org2Orgアプリケーションは、ハブ/スポーク構成に特化して設計されました。
備考: Org2Orgアプリケーションは、あなたのスポーク[ソース]組織で設定する必要があります。これらの手順は、スポーク[ソース]組織に追加されたOrg2Org SAMLアプリケーションからこの構成ガイドを見ていることを前提としています。
備考:受信する SAML アサーションには、ユーザー作成時およびユーザー更新時に必要な属性を含める必要があります。
ハブ(ターゲット)のOkta orgにログインし、[Admin(管理)]ボタンを選択します。
[Security(セキュリティ)]>[Identity Providers(IDプロバイダー)]に移動し、[Add Identity Provider(IDプロバイダーを追加)]をクリックして、スポーク/ソース・アフィリエイトの新しい 受信SAMLエンドポイントを作成します。
備考:すべてのインバウンドSAML構成は、スポーク/ソース・アフィリエイト名を用いて作成されます。
[General Settings(全般設定)]で、以下の設定を行います。
Name(名前):スポーク(ソース)の名前を入力します。
[Authentication Settings(認証設定)]で、以下の設定を行います。
IdP Username(IdPユーザー名):ドロップダウンメニューから選択します。このフィールドでは、IdPユーザープロファイルで定義された属性を Okta Expression Language で変換して、SAMLアサーションから件名のユーザー名を作成する方法を指定します。
Filter Username(ユーザー名をフィルター):オプションの正規表現パターンで、変換されたユーザー名をフィルタリングして、意図しないユーザーや特権的なユーザーがIdPで認証されるのを防ぎます。
Match against(照合): ご希望のオプションをドロップダウンメニューから選択します。このフィールドでは、認証応答が新規ユーザー向けか既存のユーザー向けかを判断するため、Oktaの既存ユーザーのどの属性を変換後のユーザー名と比較するかを指定します。変換されたユーザー名に対して照合するユーザー属性を選択します。
If no match is found(マッチが見つからない場合):ご希望のオプションを選択します。[Create new user (JIT)(ユーザーの新規作成)(JIT)]を選択すると、対象となる組織にユーザーが存在しない場合に、対象となる組織にユーザーのプロファイルが作成されます。このフィールドは、Okta組織内の既存のユーザーとマッチしない認証応答に対するアクションを指定します。
[JIT Settings(JIT設定)]で、以下の設定を行います。
Profile Master(プロファイル・マスター):ご希望のオプションを選択します。このフィールドは、IdP がユーザー・プロファイル属性の真の情報源として機能するかどうかを決定します。IdP は、ユーザーがProfile Master でもある追加のアプリやディレクトリに割り当てられている場合、他のProfile Masterと共に優先して使用しなければなりません。詳細は「Profile Mastering(プロファイル・マスタリング)」のドキュメントを参照してください。
備考:Org2Orgアプリケーションがユーザー・プロファイルを更新するように設定されており、IDPをプロファイル・マスターとして設定している場合、ユーザーを更新するとプロビジョニング・エラーが発生するという問題があります。このシナリオでは、このオプションを選択しないことをお勧めします。
Group Assignments(グループ割り当て):ご希望のオプションを選択します。このフィールドでは、プロビジョニング時のグループ割り当ての動作を指定します。
[SAML Protocol Settings(SAMLプロトコル設定)]で、以下の設定を行います。
IdP Issuer URI(IdP発行者のURI):以下をコピーし、ペーストします。
Okta管理者アプリにサインインすると、この変数が生成されます。
IdP Single Sign On URL(IdPのシングルサインオンURL): 以下をコピーし、ペーストします。
Okta管理者アプリにサインインして、この値を生成します。
IdP Signature Certificate(IdP署名証明書):以下をダウンロードしてokta.crt として保存した後、X509証明書(以下)をアップロードしてください。
Oktaの管理アプリにサインインすると、この変数が生成されます。
[Add Identity Provider/Save(IDプロバイダーを追加/保存)]をクリックします。
保存すると、ハブ(ターゲット)のメインの「Identity Providers(IDプロバイダー)」ページに戻ります。
先ほど追加したIDプロバイダーを見つけます。矢印をクリックすると、そのIDプロバイダーの詳細が表示されます。
Assertion Consumer ServiceとオーディエンスURIの値をコピーします。
スポーク(ソース) 組織に戻ります。設定しているOrg2Orgアプリケーションで、 [Sign On(サインオン)] タブの下の対応するフィールドにコピーした値(ハブのACSのURL、オーディエンスURI)をペーストします。
[Audience URI(オーディエンスURI)]の値をコピーして、スポーク(ソース)のOrg2Orgアプリケーションセットアップの[Sign On(サインオン)]タブにある[Audience URI(オーディエンスURI)]フィールドにペーストします。
[Save(保存)]をクリックします:
以下の手順では、スポーク(ソース)組織のユーザーが、単一のハブ(ターゲット)組織で管理およびプロビジョニングされているアプリケーションにログインできるようにします。
以下の例では、Google Appsを例にして、正確な実行手順を説明します。
備考:スポーク(ソース)を構成する前に、ハブ(ターゲット)でアプリケーションが正常に動作する(ヒント:アプリケーションに正常に接続できる)ことを確認してください。
ハブ(ターゲット)組織で、スポーク(ソース)組織と共有するアプリケーションを構成します。この例では、SAMLサインオンモードでGoogle Appsを使用しています。
スポーク(ソース)組織にログインして、管理者コンソールにアクセスします。[Add Application(アプリケーションを追加)]をクリックして、[Bookmark App(ブックマーク・アプリ)]を追加します。
アプリケーション・ラベルを入力します(ヒント:作成するアプリケーションの名前。ここではGoogle Appsを例にしています)。
URLを構築するためには、以下の3つのものが必要となります。
[ IdP Single Sign On URL(ldPシングルサインオンのURL)](上記の「ハブ/ターゲット組織の構成(インバウンドSAML) 」セクションの手順6で取得したもの)を[ URL ]フィールドにコピーし、ペーストします。
引き続きURLフィールドで、前の手順の値の最後に以下を追加します。
?RelayState=
続いて、ハブ(ターゲット)にアプリケーションの埋め込みリンクが表示されます。 この値は、ハブ(ターゲット)組織で接続するアプリケーションの[ General(全般) ]タブにあります。この例ではGoogle Appsに接続したいので、管理者として、ハブ(ターゲット)組織で追加したGoogle Appsアプリケーションを開きます。[General(全般)]タブで、[App Embed Link(アプリ埋め込みリンク)]セクションが表示されるまで下にスクロールします。[Okta Org Admin URL(Okta org管理URL)]フィールドから値をコピーして、ブックマークURLに追加します ( 前の手順で追加した文字列の後)。
ブックマークURLの値は、以下の例のようになります。
http://sourceorg.okta.com/app/okta_org2org/exkidkmZXAoxbgwz20g3/sso/saml?RelayState=http://huborg.okta.com/home/google/0oaiqwYT8RpdS8I6D0g3/26
完了!
これで、ハブ(ターゲット)組織にGoogle Appsが構成されていても、スポーク(ソース)組織からユーザーがシームレスにGoogle Appsにログインできるようになりました。
次のSAML属性がサポートされています。
| 名称 | 値 |
|---|---|
| FirstName | user.firstName |
| LastName | user.lastName |
| Eメール | user.email |