Okta からの OpenID Connect (OIDC) ベースのシングル サインオン (SSO) をサポートするには、最初に Okta でアプリケーションをセットアップする必要があります。Okta で SSO のために OIDC ベースのアプリケーションをセットアップするには、次の手順を実行します。

前提条件

ログインに必要な Okta アカウントがあることを確認します。

手順

  1. Okta アカウントに管理者ユーザーとしてログインします。
    [Okta] ホーム画面が表示されます。
    注: [開発者コンソール (Developer Console)] ビューが表示されている場合は、 [開発者コンソール (Developer Console)] ドロップダウン リストから [従来のユーザー インターフェイス (Classic UI)] を選択して、[従来のユーザー インターフェイス (Classic UI)] ビューに切り替える必要があります。
  2. 新しいアプリケーションを作成するには、次の手順を実行します。
    1. 上部のナビゲーション バーで、[アプリケーション (Applications)] > [アプリケーションの追加 (Add Application)] をクリックします。
      [アプリケーションの追加 (Add Application)] 画面が表示されます。
    2. [新しいアプリケーションの作成 (Create New App)] をクリックします。
      [新しいアプリケーション統合の作成 (Create a New Application Integration)] ダイアログ ボックスが表示されます。
    3. [プラットフォーム (Platform)] ドロップダウン メニューから、[Web] を選択します。
    4. サインオンの方法として [OpenID Connect] を選択し、[作成 (Create)] をクリックします。
      [OpenID Connect 統合の作成 (Create OpenID Connect Integration)] 画面が表示されます。
    5. [全般設定 (General Settings)] 領域の [アプリケーション名 (Application name)] テキスト ボックスに、アプリケーションの名前を入力します。
    6. [OpenID Connect の設定 (CONFIGURE OPENID CONNECT)] 領域の [ログイン リダイレクト URI (Login redirect URIs)] テキスト ボックスに、SASE Orchestrator アプリケーションがコールバック エンドポイントとして使用するリダイレクト URL を入力します。
      SASE Orchestrator アプリケーションの [認証の設定 (Configure Authentication)] 画面の下部にリダイレクト URL リンクがあります。 SASE Orchestrator リダイレクト URL は https://<Orchestrator URL>/login/ssologin/openidCallback の形式にするのが理想的です。
    7. [保存 (Save)] をクリックします。新しく作成されたアプリケーションのページが表示されます。
    8. [全般 (General)] タブで [編集 (Edit)] をクリックし、許可された付与タイプに対して[トークンの更新 (Refresh Token)] を選択し、[保存 (Save)] をクリックします。
      SASE Orchestrator での SSO の設定時に使用するクライアント認証情報(クライアント ID とクライアント シークレット)をメモしておきます。
    9. [サインオン (Sign On)] タブをクリックし、[OpenID Connect ID トークン (OpenID Connect ID Token)] 領域で [編集 (Edit)] をクリックします。
    10. [グループの要求タイプ (Groups claim type)] ドロップダウン メニューから、[式 (Expression)] を選択します。デフォルトでは、グループの要求タイプは [フィルタ (Filter)] に設定されています。
    11. [グループの要求式 (Groups claim expression)] テキスト ボックスに、トークンで使用される要求名と、トークンを評価する Okta 入力式のステートメントを入力します。
    12. [保存 (Save)] をクリックします。
      アプリケーションは IDP でセットアップされます。ユーザー グループとユーザーを SASE Orchestrator アプリケーションに割り当てることができます。
  3. グループとユーザーを SASE Orchestrator アプリケーションに割り当てるには、次の手順を実行します。
    1. [アプリケーション (Application)] > [アプリケーション (Applications)] の順に移動し、SASE Orchestrator アプリケーションのリンクをクリックします。
    2. [割り当て (Assignments)] タブで、[割り当て (Assign)] ドロップダウン メニューから、[グループに割り当て (Assign to Groups)] または [ユーザーに割り当て (Assign to People)] を選択します。
      [<アプリケーション名> をグループに割り当てる (Assign <Application Name> to Groups)] または [<アプリケーション名> をユーザーに割り当てる (Assign <Application Name> to People)] ダイアログ ボックスが表示されます。
    3. SASE Orchestrator アプリケーションの割り当て先となる使用可能なユーザー グループまたはユーザーの横にある [割り当て (Assign)] をクリックして、[完了 (Done)] をクリックします。
      SASE Orchestrator アプリケーションに割り当てられたユーザーまたはユーザー グループが表示されます。

結果

これで、Okta で SSO のために OIDC ベースのアプリケーションをセットアップする手順が完了しました。

次のタスク

SASE Orchestrator でシングル サインオンを設定します。