Okta からの OpenID Connect (OIDC) ベースのシングル サインオン (SSO) をサポートするには、最初に Okta でアプリケーションをセットアップする必要があります。Okta で SSO のために OIDC ベースのアプリケーションをセットアップするには、次の手順を実行します。
前提条件
ログインに必要な Okta アカウントがあることを確認します。
手順
- Okta アカウントに管理者ユーザーとしてログインします。
[Okta] ホーム画面が表示されます。注: [開発者コンソール (Developer Console)] ビューが表示されている場合は、 [開発者コンソール (Developer Console)] ドロップダウン リストから [従来のユーザー インターフェイス (Classic UI)] を選択して、[従来のユーザー インターフェイス (Classic UI)] ビューに切り替える必要があります。
- 新しいアプリケーションを作成するには、次の手順を実行します。
- 上部のナビゲーション バーで、[アプリケーション (Applications)] > [アプリケーションの追加 (Add Application)] をクリックします。
[アプリケーションの追加 (Add Application)] 画面が表示されます。
- [新しいアプリケーションの作成 (Create New App)] をクリックします。
[新しいアプリケーション統合の作成 (Create a New Application Integration)] ダイアログ ボックスが表示されます。
- [プラットフォーム (Platform)] ドロップダウン メニューから、[Web] を選択します。
- サインオンの方法として [OpenID Connect] を選択し、[作成 (Create)] をクリックします。
[OpenID Connect 統合の作成 (Create OpenID Connect Integration)] 画面が表示されます。
- [全般設定 (General Settings)] 領域の [アプリケーション名 (Application name)] テキスト ボックスに、アプリケーションの名前を入力します。
- [OpenID Connect の設定 (CONFIGURE OPENID CONNECT)] 領域の [ログイン リダイレクト URI (Login redirect URIs)] テキスト ボックスに、SASE Orchestrator アプリケーションがコールバック エンドポイントとして使用するリダイレクト URL を入力します。
SASE Orchestrator アプリケーションの [認証の設定 (Configure Authentication)] 画面の下部にリダイレクト URL リンクがあります。 SASE Orchestrator リダイレクト URL は https://<Orchestrator URL>/login/ssologin/openidCallback の形式にするのが理想的です。
- [保存 (Save)] をクリックします。新しく作成されたアプリケーションのページが表示されます。
- [全般 (General)] タブで [編集 (Edit)] をクリックし、許可された付与タイプに対して[トークンの更新 (Refresh Token)] を選択し、[保存 (Save)] をクリックします。
SASE Orchestrator での SSO の設定時に使用するクライアント認証情報(クライアント ID とクライアント シークレット)をメモしておきます。
- [サインオン (Sign On)] タブをクリックし、[OpenID Connect ID トークン (OpenID Connect ID Token)] 領域で [編集 (Edit)] をクリックします。
- [グループの要求タイプ (Groups claim type)] ドロップダウン メニューから、[式 (Expression)] を選択します。デフォルトでは、グループの要求タイプは [フィルタ (Filter)] に設定されています。
- [グループの要求式 (Groups claim expression)] テキスト ボックスに、トークンで使用される要求名と、トークンを評価する Okta 入力式のステートメントを入力します。
- [保存 (Save)] をクリックします。
アプリケーションは IDP でセットアップされます。ユーザー グループとユーザーを SASE Orchestrator アプリケーションに割り当てることができます。
- 上部のナビゲーション バーで、[アプリケーション (Applications)] > [アプリケーションの追加 (Add Application)] をクリックします。
- グループとユーザーを SASE Orchestrator アプリケーションに割り当てるには、次の手順を実行します。
- [アプリケーション (Application)] > [アプリケーション (Applications)] の順に移動し、SASE Orchestrator アプリケーションのリンクをクリックします。
- [割り当て (Assignments)] タブで、[割り当て (Assign)] ドロップダウン メニューから、[グループに割り当て (Assign to Groups)] または [ユーザーに割り当て (Assign to People)] を選択します。
[<アプリケーション名> をグループに割り当てる (Assign <Application Name> to Groups)] または [<アプリケーション名> をユーザーに割り当てる (Assign <Application Name> to People)] ダイアログ ボックスが表示されます。
- SASE Orchestrator アプリケーションの割り当て先となる使用可能なユーザー グループまたはユーザーの横にある [割り当て (Assign)] をクリックして、[完了 (Done)] をクリックします。
SASE Orchestrator アプリケーションに割り当てられたユーザーまたはユーザー グループが表示されます。
結果
これで、Okta で SSO のために OIDC ベースのアプリケーションをセットアップする手順が完了しました。
次のタスク
SASE Orchestrator でシングル サインオンを設定します。