OktaでSAML認証を設定する方法です。
本手順はカタログアプリを使用しない設定になります。
SCIMによるプロビジョニングも想定している場合は、近日リリース予定の新しいカタログアプリの対応をお待ちくださいますようお願いいたします。
1.セキュリオにて、認証に用いるメールアドレスのドメイン(ホスト)名を追加する
手順は、リンク先のマニュアルをご参照ください。
リンク
2.【Okta】「アプリケーション」を開き、「アプリ統合を作成」を選択
3.【Okta】「SAML 2.0」を選択し、「次へ」を選択
4.【Okta】セキュリオのアイコンを登録し、「適用」を選択
セキュリオのアイコンは、以下のサポートページよりダウンロードが可能です。
リンク
5.アプリ名は「セキュリオ」にしています。
6.セキュリオにて、「設定」→「SAML設定」を開き、「サービスプロバイダ情報」の設定値を確認
確認した内容は、次STEPにおけるOktaの設定に入力します。
7.【Okta】前STEPで確認した設定値を元に、Oktaの「シングルサインオンURL」「オーディエンスURI」を入力
【シングルサインオンURL】・・・「アサーションコンシューマーサービス(ACS)URL」
【オーディエンスURI】・・・「エンティティID」
8.【Okta】「アプリケーションのユーザー名」で「メール」を選択する
9.【Okta】下へスクロールをし、「次へ」を選択
10.【Okta】「終了」を選択
11.【Okta】セキュリオのアプリケーション詳細画面で、「サインオン」にある SAML 2.0 の「詳細」を選択
12.【Okta】「サインオンURL」の内容を控え、「署名証明書」のダウンロードをする
署名証明書は「コピー」ではなく、ファイルのダウンロードをしてください。
13.【Okta】前STEPでダウンロードした署名証明書をテキストエディタで開き、内容をすべてコピーする
-----BEGIN CERTIFICATE----- から -----END CERTIFICATE----- も含めたすべてをコピーします
14.セキュリオにて、STEP 12~13の Okta で確認した内容を入力
【ログインURL】・・・サインオンURL(STEP 11で確認したもの)
【X.509 証明書】・・・署名証明書(STEP 13でコピーしたもの)
15.パスワードログインの設定をする
はい=シングルサインオンでのみセキュリオにログインできるようになります
いいえ=シングルサインオンを使わず、セキュリオで登録したIDとPWでもログインできます
SAMLによるSSOの動作が確認できるまでは「いいえ」のままを強くお勧めします。
万が一、設定に不備があった場合、管理者も含めすべてのユーザーがログイン不可になることもあります。
正常に動作することを確認したのち、適宜「はい」への変更を行ってください
16.SAML SSO を有効にする
17.「設定する」を選択
18.【補足】SAML設定がうまくいかず、設定を確認したい場合
SAML SSO対象ドメインで、SSOの開始を回避して強制的にパスワードログインを行う場合、以下にアクセスください
https://seculio.com/login/password
SAML設定がうまくいかず、SSOでログインができないと思われる場合に利用ください
※「パスワードログインを無効にする」を【いいえ】に設定している場合のみ、上記が可能です。【はい】に設定の場合は上記でもパスワードログインが不可です。サポートまでお問い合わせください。