SP-initiatedのみに対応のアプリをユーザに割り当てるコツ
Oktaを利用するユーザがアプリケーションにアクセスするには、通常ユーザダッシュボードからアプリケーションのアイコン(Chiclet)をクリックします。このChicletは、組織の管理者がユーザにアプリケーションを割り当てると表示される仕組みになっていますが、アプリケーションの仕様によってChicletをクリックしてもうまく動作しないことがあります。
これは、以下2種類のSAML認証方式の内SP-initiatedのみに対応していることが原因の場合があります。この記事では、IdP-initiated SSOとSP-initiated SSOの違いとSP-initiatedのみに対応のアプリケーションをユーザに割り当てる際のコツをご紹介します。
IdP-initiated SSOとSP-initiated SSOの違い
[IdP-initiated SSO]
Identity Provider (IdP)がSAML認証を開始する方式。OktaのダッシュボードでアプリケーションのChicletをクリックすることで、OktaがSAMLレスポンスを作成してアプリケーションへ渡す。
[SP-initiated SSO]
Service Provider (SP)がSAML認証を開始する方式。ユーザがアプリケーションにアクセスすることで、アプリケーションからOktaへSAMLリクエストを送り、OktaがSAMLレスポンスを返す。
*Okta Integration Network (OIN)に登録のアプリケーションについては、どの認証方式をサポートしているかを各アプリケーションのSetup Intructionsより「Supported Features」にて確認できます。
管理ダッシュボード: Applications → Applications → 該当アプリケーション → Sign On → Settings → Sign on methods, SAML 2.0 “View Setup Instructions.”
SP-initiatedのみに対応のアプリケーションをユーザに割り当てる際のコツ
SP-initiatedのみ対応: Cybozuの例
IdP-initiated, SP-initiated両方に対応: Jobcanの例
SP-initiatedのみに対応のアプリケーションは、Okta上では「受け」の役割であり、SP(アプリケーション)からのSAMLのリクエストが来て初めて動作することとなります。そのため、Okta上でChicletをクリックしてもIdP-initiatedの様には動作しません。
以下の対応策を行うことにより、IdP-initiatedの様にChicletをクリックするだけでアプリケーションへ正常アクセスできる様になります。
参考: Bookmark Appの設定マニュアル
https://support.okta.com/help/s/article/How-do-you-create-a-bookmark-app?language=ja
https://help.okta.com/en/prod/Content/Topics/Apps/Apps_Bookmark_App.htm
<対応策> Cybozu, キントーンを例にステップごとにご説明します。
- SP-initiatedのみに対応のアプリケーションを追加した後、アプリケーション(Chiclet)をユーザダッシュボードに表示させない様に設定する
管理ダッシュボード: Applications → Applications → Cybozu → General → App Settings → Application visibilityにて2つの設定を有効化
- Oktaの管理者ダッシュボードにて Applications → Applications → Add Application
もしくはBrowse App Catalog
- 検索ボックスに「Bookmarkと入力し、検索結果の「Bookmark App」を追加
- アプリケーション名とURLを入力する: 今回は例としてCybozuのkintoneを利用
- Cybozu: OIN登録のアプリケーションでありkintoneなどの4サービスへのSAML SSO設定用
- キントーン: https://[サブドメイン].cybozu.com/k/でアクセスできる実サービス
*URLはSP-initiated flowが開始されるアプリケーション側のURLを指定
[OIN登録アプリケーションの場合は設定ガイドの下部に記載あり]
管理ダッシュボード: Applications → Applications → Cybozu → Sign On → Settings → Sign on methods, SAML 2.0 “View Setup Instructions”
![[OIN登録アプリケーションの場合は設定ガイドの下部に記載あり]](/sites/default/files/media/image/2021-06/08_Notes.png)
cybozu.comトップではなく各サービスに直接アクセスする場合は以下を指定:
Garoon… https://[サブドメイン].cybozu.com/g/
サイボウズOffice… https://[サブドメイン].cybozu.com/o/
kintone… https://[サブドメイン].cybozu.com/k/
メールワイズ... https://[サブドメイン].cybozu.com/m/
- ユーザが直感的に認識できるよう、アプリケーションロゴを設定
ロゴは各企業のブランドガイドラインページなどで公開している場合が多い:
Cybozuの場合はこちらにて公開 https://cybozu.co.jp/logotypes/
- 作成したBookmark Appにユーザを割り当てる
- ユーザダッシュボードにてBookmark AppのChicletをクリックすると、アプリケーションのURLに遷移してSP-initiated SSO flowを開始する
無事にアプリケーションにSSOが完了
Follow 石橋 禎史
