OktaをSAML IDプロバイダーとして構成する
Before you start
Okta Developerアカウントにサインアップします。
Auth0テナントをOkta Workforce Identity Cloudと統合したい場合は、まずOkta Workforceのエンタープライズ接続を使用してみてください。
SAMLエンタープライズ接続を構成して、Auth0のSAML IDプロバイダー(IdP)としてOktaを構成できます。
OktaのSAMLアプリ統合を構成する
Okta Developer ConsoleでSAMLアプリ統合を作成できます。
アプリ統合を作成する
Okta Developer Consoleにログインします。
[Create App Integration(アプリ統合を作成)]に移動し、オプションから[SAML 2.0] を選択します。
次の設定を構成します:
設定 説明 例 Single Sign-On URL(シングルサインオンURL) Auth0テナントのログインコールバックURL。 https://{yourAuth0Domain}/login/callback?connection={yourAuth0ConnectionName}Audience URI (SP Entity ID)(オーディエンスURI(SPエンティティID))Audience URI (SP Entity ID) Auth0接続のオーディエンス値。 urn:auth0:{yourAuth0TenantName}:{yourAuth0ConnectionName}Okta SAMLアプリ統合の構成に使用する接続名の値(
{yourAuth0ConnectionName})は、Auth0で作成するSAML接続の名前と一致しなければなりません。[Next(次へ)]そして[Finish(終了)] を選択し、Oktaアプリ統合の構成を完了します。
SSO URLの記録および証明書のダウンロード
現在、ログインフローは、新規作成されたアプリのためにサインオンページにダイレクトされるようになりました。
[View SAML Setup Instructions(SAMLのセットアップ手順を表示)]を選択します。
Identity Provider Single Sign-On URL(IDプロバイダーのシングルサインオンURL)を記録します。
PEMまたはCER形式でX.509証明書をダウンロードします。
[Assignments(割り当て)]に移動し、ユーザーをOktaアプリケーションに割り当てます。
Auth0でSAML接続を構成する
Auth0 DashboardでSAMLエンタープライズ接続を作成できます。
Auth0 Dashboardにログインします。
SAMLの隣にある[Create(作成)]([+] ボタン)を選択します。
次の設定を構成します:
設定 説明 例 接続名 Auth0の接続名。 myoktaconnectionサインインURL ユーザーログイン要求が送信されるOkta URL。
これは、前に記録した__IDプロバイダーのシングルサインオンURL__です。https://my_okta_tenant_name.okta.com/app/my_okta_tenant_namemy_okta_saml_app_integration_name/dakflkbzevu5i5zBi939/sso/samlX509署名証明書 Oktaテナントの公開鍵の署名証明書。
前にダウンロードした__X509証明書__をアップロードします。myOktaTenantSigningCertificate.pem[Create(作成)]を選択します。
Auth0でSAMLエンタープライズ接続を有効にする
Auth0 DashboardでSAMLエンタープライズ接続を有効にできます。
Organizations使用時にSAMLエンタープライズ接続を有効にする
Organizationsを使用している場合
Auth0 Dashboardにログインします。
Organizationsに移動し、あなたのOrganizationを選択します。
[Connections(接続)]ビューに切り替えます。
[Enable Connections(接続の有効化)]を選択します。
事前に作成したSAML接続を選択し、[Enable Connection(接続の有効化)]を選択します。
Organizationsを使用していない時にSAMLエンタープライズ接続を有効にする
Organizationsを使用していない場合
Auth0 Dashboardにログインします。
[Authentication(認証)]>[Enterprise(エンタープライズ)]>[SAML]に移動し、事前に作成したSAML接続を選択します。
[Applications(アプリケーション)]ビューに切り替え、選択したアプリケーションの接続を有効にします。
接続をテストする
Auth0 Dashboardで接続をテストできます。
Auth0 Dashboardにログインします。
リストから接続を見つけます。
[More Actions(その他のアクション)]([...] ボタン)を選択し、[Try(試す)]を選択します。
接続が正しく構成されている場合は、[It works!(機能しています)]画面が表示されます。
そうでない場合は、エラーメッセージとその内容が表示されます。
[Try(試行)]ボタンは、Auth0 Dashboardにログインしているユーザーに対してのみ機能します。これを顧客などの匿名ユーザーに送信することはできません。
Oktaユーザーがいない場合は、ユーザーを作成するか、IdP起点SSOを構成する必要があります。
サービスプロバイダー起点のログインフローを通じて認証したユーザーに、Okta Dashboardが表示されることがあります。OIDCプロトコルを使ってアプリケーションとAuth0を統合した場合、Auth0は、stateパラメーターの値を取得し、 SAMLのRelayStateパラメーターを使ってOktaに渡します。stateパラメーターを必ずOktaが使用できる値に設定してください。
グローバルトークン取り消しを構成する
この接続タイプはグローバルトークン取り消しエンドポイントに対応しており、準拠しているIDプロバイダーがAuth0ユーザーセッションとリフレッシュトークンを取り消し、安全なバックチャネルを使用してアプリケーションのバックチャネルログアウトをトリガーできます。
この機能はOkta Workforce Identity Cloudでユニバーサルログアウトと併用できます。
詳しい情報と構成手順については、「ユニバーサルログアウト」を参照してください。