概要
初めてoktaを使って自社アプリとLDAP(S)の連携をしたので、LDAPS関連の設定手順を残したいと思います。
前提条件
oktaに管理者権限を有するアカウントがあり、利用できること。
先日発表された「Okta Starter Developer Edition」を使用した。
全体の流れ
手順
-
LDAP認証時にディレクトリ情報を取得するユーザを追加する。
管理者ユーザをそのまま利用すると権限過多なので別ユーザを作成することを推奨します。
-
作成したユーザでログインできることを確認する。
確認メールの検証リンクまで。
-
作成したユーザを読み取り専用管理者権限に追加する。
LDAP用ユーザ名を入力し、「Read Only Administrator」にチェックする。
-
LDAP Interfaceを有効にする。(デフォルト有効)
LDAP Interfaceは自前でLDAPサーバを構築せずにoktaで予め用意されているLDAPサービスを使用する。
-
LDAP(S)用の設定値を確認し、連携したいアプリケーション、サービスに入力する
LDAPSを使用する場合は、636ポート、LDAPは389ポート(StartTLSに対応していること)
-
[オプション]LDAPS使用時に必要の証明書の入手方法
ブラウザで読み込まれている証明書をそのまま保存し、連携先のアプリケーション、サービスなどにインポートする。
ただし、有効期間には要注意!
またこの方法は公式の手順ではなく、ヘルプセンターに記載されたものを手順として採用しています。
もし、正しい手順やこんなやり方もあるよという方がいましたらコメント頂けると嬉しいです。
-
アプリケーション、サービス側の設定
- ホスト、ポート、ベースDNは上記のLDAP Interfaceで表示されている値を用いてください。
- 管理者DNは
uid=読み取り専用ユーザのユーザID(メールアドレス), ou=users, dc=サブドメイン名, dc=okta, dc=com - 管理者PWは読み取り専用ユーザのPW
- 認証時にユーザIDとなるキーはoktaのユーザ「Profile」の属性名を指定する。
- アプリケーションやサービスのログインユーザIDがoktaと同じメールアドレス型式ならば、
uidを指定すればOK - その他の場合は、Profileの「Variable Name」(下図参照)を使用する。なお、属性を拡張する場合も下記の手順を参照してください。
- アプリケーションやサービスのログインユーザIDがoktaと同じメールアドレス型式ならば、
-
[オプション]Profileを拡張し、認証時のログインキーとして使用する。
ユーザが属しているProfileを選択する
下図の「Variable Name」はログインキーとして使用できる属性名になります。
属性を追加場合は、「Add Attribue」を押下する。
認証用なので、stringで問題ないと思います。
Variable nameは一度決めたら変えられないので、変えたい場合は、削除し、再作成してください。
作成後はユーザのProfileの該当項目に値を入力し、連携先のアプリケーションやサービスにログインキーとして指定する。
セキュリティ対策
LDAP(S)認証のリクエスト元をIPベースで制限する仕組み(IP以外もいろいろできます)があります。
リストに追加された時点で機能するようになります。
何もなければすべて許可、1つ以上あった場合は、それらのIPのみが許可される。
また、ブラックリストも追加できる。
なお、Webからのログインは「sign-on policy」で該当の設定が追加されていなければ影響しないと思われ(未確認)。
