メインコンテンツにスキップ

Okta SAML SSO 構成

2か月以上前に更新

このガイドでは、 OktaでSAML 2.0経由でAxur Platformサービスと通信可能な新しいアプリケーションを作成する手順を段階的に説明します。このガイドでは、シングルサインオン(SSO)が正しく期待どおりに機能するために必要なすべての設定について説明します。

目次

始める前に

  • Oktaでホストされている組織のアカウントにアクセスできることを確認してください 。通常、アクセスURLは次の形式になります。 https://<YOUR_ORGANIZATION>.okta.com

  • 設定を行う際は、指定された場所にコピーまたは入力するデータが正しいことを確認してください。誤ったデータ入力は、後でアプリケーションのテストを行う際に問題を引き起こす可能性があります。

グループ、ユーザー、割り当て

Axur Platform SSOアプリケーション作成チュートリアルでは 、ユーザーとグループの概念が常に登場します。プロバイダーは、ユーザー情報と所属グループがすべて保存される場所です(プロバイダー経由でのグループ作成は任意です)。そのため、このセクションでは、 Oktaでグループとユーザーを作成し、ユーザーをグループに割り当てる方法を説明します。

グループの作成(オプション)

このセクションはオプションです。グループはAxurプラットフォーム内で管理できます 。そのため、グループの作成ユーザーへのグループの割り当てユーザーグループのマッピングのセクションはスキップできます。

新しいグループを作成するには、画像の手順に従ってください。

提案された名前

グループの説明

Axur Viewer

このグループのユーザーは Axur プラットフォームにアクセスでき、すべてのチケット、結果、請求書情報を表示できますが、アクションを実行することはできません。

Axur Analyst

このグループのユーザーは Axur プラットフォームにアクセスでき、すべての情報を表示できるほか、課金対象外のアクション (削除リクエストを除く) を実行できます。

Axur Expert

このグループのユーザーは Axur プラットフォームにアクセスでき、課金対象外のアクションの実行に加えて、削除をリクエストすることもできます。

Axur Manager

このグループのユーザーは Axur プラットフォームにアクセスでき、すべてのアクション (課金対象および非課金対象) を実行できるほか、Axur プラットフォームでユーザーが実行したアクティビティを表示することもできます。

Axur Custom

このグループのユーザーには、個別の権限セットが付与されます。ユーザーが作成された際に、マネージャーは権限の内容を指定できます。

AxurプラットフォームがSAML経由で正しく認識するには、以下の表に示すように、プラットフォームが想定する正確な名前でグループを作成する必要があります。後ほど、それらの間のマッピングを作成します。

希望値

グループ

one-viewer

Axur Viewer

one-practitioner

Axur Analyst

one-expert

Axur Expert

one-manager

Axur Manager

one-basic

Axur Custom

この戦略は組織化に役立ちます。最初に作成したグループ(例:Axur Platform Viewer)は、Okta検索でAxur Platformに属していることを簡単に識別できます。後ほど、マッピングを作成します。これにより、例えばAxur Platform Viewerグループのユーザーからログインを受信するたびに、プラットフォームに送信されたグループがそれぞれ必要なグループ(この場合はone-viewer )に変換されます。

ユーザーの作成

ユーザーを作成するには、画像の手順に従ってください。

必要に応じて、同じ手順に従ってさらにユーザーを作成します。

ユーザーにグループを割り当てる(オプション)

このセクションはオプションです。グループはAxurプラットフォーム内で管理できます 。そのため、グループの作成ユーザーへのグループの割り当てユーザーグループのマッピングのセクションはスキップできます。

作成したユーザーにグループを割り当てるには、画像の手順に従ってください。

好きなだけユーザーを追加できます。

新しいアプリケーションの作成

Oktaダッシュボードにアクセスしたら、画像の手順に従って新しいアプリケーションを作成してください。プロセスは順番に進んでいきますが、理解を深めるためにセクションに分けています。シンプルで分かりやすいインターフェースです。

次のセクションに進みます。

Axur プラットフォームのデータを Okta に送信する

SSOプロセスがスムーズに機能するには、 Oktaが通信相手を認識する必要があります。

この意味で、アプリ作成の最初のセクションでは、 SAMLプロトコルを介して通信できるように、Axur プラットフォームを参照するデータが要求されます。

必要なデータは次のとおりです (これらの値は固定されており、表示されているとおりに入力する必要があります)。

分野

価値

ACS URL

https://api.axur.com/gateway/1.0/saml-proxy/saml/SSO

エンティティID

com:axur:sso

画像に示されているとおりに各フィールドに入力してください。上記の表に記載されている値に加え、「名前IDの形式」「アプリケーションユーザー名」のフィールドも含め、サンプル画像に示されているすべての値が入力されていることを確認してください。組織に特別な要件がない限り、表示されていないその他のフィールドは通常、デフォルト値のままにするか、空白のままにすることができます。

ユーザー属性のマッピング

Okta をプロバイダーとして使用することで、 Oktaによって既に保存・管理されている認証情報を活用します 。これらの認証情報は、プロバイダーが定義した形式で保存されます。しかし、SAMLを使用してAxur プラットフォームと通信するには、ユーザーデータを標準化された方法で送信する必要があります。つまり、データがOktaから送信されたか他のプロバイダーから送信されたかに関係なく、 Axur プラットフォームがユーザーのメール属性を常に同じ形式で受信できるようにする必要があります。プロバイダーによってデータの保存方法は異なりますが、マッピングによってこの問題を解決できます。

新規アプリケーション作成メニューに進み、表に示されている値を使用してユーザー属性マッピングセクションに入力します。最初の値(名前)はURLなので、手動で入力してください。その他のフィールドはドロップダウンから選択できます。アプリケーションの値が画像のものと一致することを確認してください。

名前

名前の形式

価値

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Basic

user.email

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

Basic

user.firstName

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

Basic

user.lastName

このアプリケーション用にOktaでグループを作成しない場合は、このユーザー属性セクションの下に表示されるグループマッピング値は入力しないでください。適切なボタンをクリックして、新しいアプリの作成プロセスを続行してください。Oktaから最終的なフィードバック手順が表示される場合がありますが、通常はオプションであり、スキップできます。その後、アプリの作成プロセスを完了できます。

ユーザーグループのマッピング(オプション)

このセクションはオプションです。グループはAxurプラットフォーム内で管理できます 。そのため、グループの作成ユーザーへのグループの割り当てユーザーグループのマッピングのセクションはスキップできます。

ユーザー属性と同様に、グループも存在します。グループは、特定の基準に基づいてユーザーをグループ化します。これらのグループはOktaの管理者によって作成されますが、前のセクションで説明したように、このデータがプロバイダーに関係なく標準化された方法でAxurプラットフォームに送信されるようにマッピングを作成する必要があります。

画像に従って Okta設定でグループ マッピングを作成し、表の値を使用して構成を実行します。

名前

名前の形式

価値

http://schemas.xmlsoap.org/claims/Group

Unspecified

one-.*

パターン ( one-.*) により、予想される Axur プラットフォーム サフィックス (例: one-viewerone-manager ) に一致するすべてのグループが含まれるようになります。

適切なボタンをクリックして、新しいアプリの作成プロセスを続行してください。Okta から最終フィードバック手順が表示される場合がありますが、これは通常オプションであり、スキップできます。その後、アプリの作成プロセスを完了できます。グループ属性のマッピングを正しく機能させるには、もう1つ必要なことがあります。

グループ作成セクションでは、 Axurプラットフォーム上の既存のプロフィールごとに2つのグループを作成しました (例:Axurプラットフォーム閲覧者-> one-viewer)。次に、最初のグループのユーザーを2番目のグループに自動的に関連付けるルールを作成し、プラットフォーム上ですべてが正常に動作するようにします。手順については、画像の手順に従ってください。

Oktaプロバイダーデータの取得

当社ではアイデンティティ プロバイダーとしてOktaを使用しているため、 Axur プラットフォームが誰と通信するのか、その情報が安全で信頼できるのかを伝える情報を取得する必要があります。

Axur プラットフォーム用に作成したアプリケーションにアクセスしたら、 「サインオン」タブをクリックします。写真のように、プロバイダーのメタデータが保存されているURLが記載されたセクションがあります。このURLはチュートリアルの後半で使用します。このリンクをコピーし、メモに保存しておけば、後でこのデータを利用できます。

アプリケーションへのグループ/ユーザーの割り当て

残りは、作成した新しいアプリケーションにユーザーまたはグループを割り当てるだけです。画像の手順に従ってください。

グループの場合:

ユーザー向け:

よくあるエラー

  • サービスプロバイダー(SP)情報(この場合はAxur Platform )。対応するセクションのデータを確認し、それらが同一であることを確認してください。

  • アイデンティティプロバイダー(IdP)情報(この場合はOkta )。ここにコピーしたリンクがメタデータファイルに正しくリダイレ​​クトされることを確認してください。

  • ユーザーグループのマッピング情報(プロバイダー経由でグループマッピングを作成する場合のみ)。値が正しいことを確認し、必要に応じて変更してください。

  • アプリケーションアクセス情報。グループまたは直接ユーザーの割り当てを確認します。

これでOktaプロバイダーでの必要な設定は完了です 。プラットフォームの設定ガイドに戻り、アプリケーションの作成を完了してください。

ご不明点があれば、いつでも [email protected] までお気軽にご連絡ください 😊

関連記事
ADFS SAML SSO の設定
未掲載のIdP(その他)のSAML SSO設定
Microsoft Entra ID における SAML SSO の構成
AxurプラットフォームでのSSO構成
JumpCloud の SAML SSO 設定
こちらの回答で解決しましたか?