OktaでSAML認証を設定する方法です。
・SAML認証は IdP-initiated SSO のみ対応しています
・SCIM連携(アカウント情報の同期)は、ユーザーの作成と更新のみ対応しています
1.セキュリオにて、「設定」→「SAML設定」の画面が表示できることを確認する
2.セキュリオにて、認証に用いるメールアドレスのドメイン(ホスト)名を追加する
手順は、リンク先のマニュアルをご参照ください。
リンク
3.「エンティティID」にある TenantID をメモしておく
「エンティティID」における urn:auth0:seculio: に続く、「org-」も含めた末尾までの値(org-XXXXXX)をメモしておきます。
STEP 9 で用います。
4.【Okta Admin Console】「アプリケーション」→「アプリケーション」を選択
5.【Okta Admin Console】「アプリカタログの参照」を選択
6.【Okta Admin Console】アプリ「Seculio」を検索して選択し、「統合を追加」を選択
7.【Okta Admin Console】アプリケーション ラベルを入力し、「完了」を選択
8.【Okta Admin Console】「サインオン」→「編集」を選択
9.【Okta Admin Console】STEP 3で確認した値を「Tenant ID」に入力
10.【Okta Admin Console】「Use New ACS URL」のチェックボックスを ON(有効)にする
11.【Okta Admin Console】「アプリケーションユーザー名の形式」で「メール」を選択し、「保存」を選択
12.【Okta Admin Console】SAML 2.0 の「詳細」を選択
13.【Okta Admin Console】サインオンURLの「コピー」を選択
14.前STEPでコピーしたサインオンURLを、セキュリオの「ログインURL」に貼り付け
15.【Okta Admin Console】署名証明書の「ダウンロード」を選択し、証明書ファイルを保存する
16.ダウンロードした証明書ファイルをテキストエディタで開き、その内容をコピーする
-----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- も含めたすべてをコピーします。
17.前STEPでコピーした内容を、セキュリオの「X.509 証明書」に貼り付け
18.パスワードログインの設定をする
はい=シングルサインオンでのみセキュリオにログインできるようになります
いいえ=シングルサインオンを使わず、セキュリオで登録したIDとPWでもログインできます
SAMLによるSSOの動作が確認できるまでは「いいえ」のままを強くお勧めします。
万が一、設定に不備があった場合、管理者も含めすべてのユーザーがログイン不可になることもあります。
正常に動作することを確認したのち、適宜「はい」への変更を行ってください。
19.SAML SSO を有効にする
リンク
20.「設定する」を選択
21.【補足】SAML設定がうまくいかず、設定を確認したい場合
SAML SSO対象ドメインで、SSOの開始を回避して強制的にパスワードログインを行う場合、以下にアクセスください
https://seculio.com/login/password
SAML設定がうまくいかず、SSOでログインができないと思われる場合に利用ください
※「パスワードログインを無効にする」を【いいえ】に設定している場合のみ、上記が可能です。【はい】に設定の場合は上記でもパスワードログインが不可です。サポートまでお問い合わせください。