Auth0 ApplicationをOkta Workforce Enterprise Connectionに接続する

Okta Workforceのエンタープライズ接続は、公式にサポートされた効率的な統合であり、OktaをAuth0のIDプロバイダー（IdP）として実装する際に推奨されている方法です。

この統合により、顧客は、Okta Workforce Identity Cloudを通じて従業員によるアプリケーションへのアクセスを管理できます。

また、内部でのカスタマーアイデンティティ管理にAuth0を、ワークフォースアイデンティティ管理にOktaを使用している場合、この統合は、ID空間を管理するための効果的な手段となります。

Okta Workflowsのエンタープライズ接続がユースケースをサポートしていない場合は、必要に応じてSAML IdPとしてOktaを構成するか、カスタム認可サーバーを構成します。

Okta OIDCアプリ統合の作成方法については、Okta Help CenterのOIDCアプリ統合の作成を参照してください。

OktaのOIDCアプリ統合をセットアップするには、以下の設定を使用します。

1. ［Sign-in method（サインイン方法）］として［OIDC］を選択します。

2. ［Application type（アプリケーションタイプ）］として［Web application（Webアプリケーション）］を選択し、以下のパラメーターを設定します。

   フィールド	説明
   Name（名前）	アプリケーションの名前。
   Sign-in Redirect URIs（サインインリダイレクトURI）	https://{YOUR_AUTH0_TENANT}.{YOUR_TENANT_REGION}.auth0.com/login/callback
   Trusted Origins（信頼済みオリジン）	https://{yourDomain}

   リダイレクト用のAuth0ドメイン名を見つける

   上記で、 カスタムドメイン機能を使っていないのにAuth0ドメイン名が表示されない場合は、ドメイン名がテナント名、地域のサブドメイン、および「auth0.com」をドット記号（「.」）で区切って連結したものだからです。

   たとえば、テナント名が「exampleco-enterprises」でテナントがUS地域にある場合、Auth0ドメイン名は「exampleco-enterprises.us.auth0.com」、Redirect URI（リダイレクトURI）は「https://exampleco-enterprises.us.auth0.com/login/callback」になります。

   ただし、テナントがUS地域にあり、2020年6月よりも前に作成された場合、Auth0ドメイン名は「exampleco-enterprises.auth0.com 」、Redirect URI（リダイレクトURI）は「https://exampleco-enterprises.auth0.com/login/callback」になります。

   カスタムドメインを使っている場合、Redirect URI（リダイレクトURI）は「https://<YOUR CUSTOM DOMAIN>/login/callback」になります。

3. アプリ統合のためにOktaが生成した［Client ID（クライアントID）］と［Client Secret（クライアントシークレット）］を記録しておきます。

アプリの統合をテストするため、Oktaディレクトリでテストユーザーを作成します。

1. Okta Admin Dashboardで、［Directory（ディレクトリ）］>［People（ピープル）］の順に移動します。

2. ［Add Person（ユーザーの追加）］を選択します。

3. パスワードを含むユーザーテストの詳細を入力します。

4. テストユーザーを保存します。

5. ［Directory（ディレクトリ）］で、新しいユーザーを選択します。

6. ユーザーの［Applications（アプリケーション）］タブに移動し、［Assign Applications（アプリケーションの割り当て）］を選択します。

7. さきほど作成したアプリケーション名を選択します。

Okta OIDCアプリ統合の［Client ID（クライアントID）］と［Client Secret（クライアントシークレット）］が利用可能なことを確認します。

1. ［Auth0 Dashboard］>［Authentication（認証）］>［Enterprise（エンタープライズ）］に移動し、［Okta Workforce］を見つけて、［+］ ボタンを選択します。

   

2. 接続の詳細を入力し、 ［Create（作成）］をクリックします。

   フィールド	説明
   Connection name（接続名）	接続の論理識別子です。テナント内で一意でなければなりません。一度設定すると、この名前は変更できません。
   Okta Domain（Oktaドメイン）	組織のOktaドメイン名です。
   Client ID（クライアント ID）	登録されたOktaアプリケーションの一意の識別子です。Okta管理コンソールで登録したアプリのクライアントIDに保存した値を入力します。
   Client Secret（クライアントシークレット）	登録されているOktaアプリケーションへのアクセスに使用される文字列です。Okta管理コンソールで登録したアプリのクライアントシークレットに保存した値を入力します。

3. ［Provisioning（プロビジョニング）］ビューでユーザープロファイルがAuth0で作成および更新される方法を構成することができます。

   フィールド	説明
   Sync user profile attributes at each login（ログインごとにユーザープロファイル属性を同期する）	有効な場合、ユーザーがログインするたびにユーザープロファイルデータを自動的に同期するため、接続ソースで加えられた変更はAuth0で自動的に更新されます。
   Sync user profiles using SCIM（SCIMを使ってユーザープロファイルを同期する）	有効な場合、SCIMを使ってユーザープロファイルデータを同期することができます。詳細については、「インバウンドSCIMを構成する」を参照してください。

4. ［Login Experience（ログインエクスペリエンス）］ビューに切り替えて、この接続でのユーザーログインの方法を構成することができます:

   フィールド	説明
   ホームレルムディスカバリー	ユーザーのメールドメインを、指定されたIDプロバイダードメインと比較します。詳細については、[識別子優先認証の構成]を参照してください。（https://auth0.com/docs/ja-jp/authenticate/login/auth0-universal-login/identifier-first）
   接続ボタンを表示	このオプションでは、アプリケーションの接続ボタンをカスタマイズするため次の選択肢が表示されます。
   Button display name（ボタン表示名） （オプション）	ユニバーサルログインのログインボタンをカスタマイズするために使用されるテキスト。設定されるとボタンは以下を読み取ります："Continue with {Button display name}"
   Button logo（ボタンロゴ）URL （任意）	ユニバーサルログインのログインボタンをカスタマイズするために使用される画像のURL。設定されると、ユニバーサルログインのログインボタンは、20px×20pxの四角で画像を表示します。

   任意のフィールドは、New Universal Loginでのみ使用することができます。Classic Loginを使用している場合、［Add（追加）］ボタン、ボタンの表示名、ボタンロゴのURLは表示されません。

新たなOkta Workforceエンタープライズ接続を使用するには、Auth0アプリケーションの接続を有効にする必要があります。

これで接続をテストする準備が整いました。

この接続タイプはグローバルトークン取り消しエンドポイントに対応しており、準拠しているIDプロバイダーがAuth0ユーザーセッションとリフレッシュトークンを取り消し、安全なバックチャネルを使用してアプリケーションのバックチャネルログアウトをトリガーできます。

この機能はOkta Workforce Identity Cloudでユニバーサルログアウトと併用できます。

詳しい情報と構成手順については、「ユニバーサルログアウト」を参照してください。

• 拒否されたアクセス認可に対処する
• パラメーターをIDプロバイダーに渡す
• 認証フローと認可フロー