この記事でわかること
開発の中で、Webアプリケーション(SP)とOkta(IdP)のSSO(SAML2.0)設定を行ったので、その手順を備忘録的にまとめます。(23年1月時点のもののため、変更になる可能性があること、ご了承下さい)
この記事を読んでわかること
- OktaとWebアプリのSSOインテグレーション設定
Okta(IdP側)の設定
-
Oktaの管理画面から左ペインのApplicationを選択。遷移した画面からApplicationを押下。Create App Integrationを押下。
-
SAML2.0を選択し、Nextを押下
-
任意のアプリ名を入力し、Nextを押下
-
SAML Settingsの画面上で必要項目を入力し、Nextを押下
Okta管理画面上の表記 一般的解釈 Single-sigin-on URL SP側の応答URL Audience URI SP側のエンティティID Default RelayState SP側のログインURL Name ID format SAMLRequestのName IDフォーマット。SP側のSAMLrequestの仕様によるが、メールアドレスが主流 Application username SP側のユーザIDの形式 Update application username on プロビジョニング設定。SP側でユーザIDに変更が合った場合にOktaにも設定を反映してくれる -
I'm an Okta customer adding an internal appを選択※し、Finishを押下。
※フィードバックの構成のため、社内のみでの利用の場合は上記でOK。
メタデータXMLの抽出方法
※SP側にOktaの情報を認識させるために利用
-
Oktaの管理画面から左ペインのApplicationを選択。遷移した画面のSign Onタブを選択
-
ページ下部にある、SAML SetupのView SAML setup instructionsを押下
-
遷移したページでOptionalのXMLをコピー
-
テキストエディタに貼り付け、拡張子「.xml」で保存(整形してもよい)
※ ここのいい方法をご存知の方がいれば教えて下さい。
Oktaユーザのアプリケーション紐づけ
- Oktaの管理画面から左ペインのApplicationを選択。ユーザを紐づけたいアプリケーションを選択
- Assignmentを押下、Assign to Peopleを選択
- 紐づけたいユーザを選択し、Fin
まとめ
今回の開発では複数のIdPに触りましたが、応答URLやエンティティIDが各サービス毎に呼び名が異なり、困惑しました。
幸いOktaは日本語ドキュメントが豊富なため、あまり迷うことなく設定ができましたが、日本で認知度の低いIdPサービスだと一苦労だろうなと思います。
(Opsを考えた時にサービス選定の基準になるかもです)