Okta 認証

新しい Orchestrator インスタンスを認識するように Okta を設定する

注: Okta SAML の設定には次の手順が有効です。次に示す手順は、設定例のおおまかな説明です。詳細な手順については、Okta の公式ドキュメントをご覧ください。

Okta にログインします。次の設定が [Classic UI] ビューで行われます。これは、ウィンドウの右上隅のドロップダウンから変更できます。
[Application (アプリケーション)] タブで、[新しいアプリを作成] をクリックします。[Create a New Application Integration (新しいアプリケーション統合を作成)] ウィンドウが表示されます。
サインオン方式として SAML 2.0 を選択し、[作成] をクリックします。
新しい統合に対して、[General Settings] (一般設定) ウィンドウでアプリケーション名を入力します。
[SAML Settings (SAML 設定)] ウィンドウの [General (全般)] セクションに、次の例に従って入力します。
- シングルサインオン URL: Orchestrator インスタンスの URL + /identity/Saml2/Acs。例: https://orchestratorURL/identity/Saml2/Acs
- [Use this for Recipient URL and Destination URL] (これを受信者 URL と宛先 URLに使用する) チェックボックスを有効化します。
- Audience URI (オーディエンス URL): https://orchestratorURL/identity
- Name ID Format (名前 ID 形式): EmailAddress (メールアドレス)
- Application Username (アプリケーションのユーザー名): Email (メールアドレス)
  
  注: Orchestrator インスタンスの URL を入力する際は常に、URL の最後にスラッシュを入れないようにしてください。「https://orchestratorURL/identity/」ではなく、必ず「https://orchestratorURL/identity」のように入力します。
[Show Advanced Settings] (詳細設定を表示) をクリックして、[Attribute Statements] (属性ステートメント) セクションに入力します。
- [名前] フィールドを http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress に設定して、[値] ドロップダウンから「user.email」を選択します。
Okta 証明書をダウンロードします。
[Feedback] (フィードバック) セクションで、適切なオプションを選択して、[Finish] (終了) をクリックします。
[Sign On] (サインオン) タブの [Settings] (設定) セクションで、[Setup Instructions] (設定手順) をクリックします。Orchestrator の SAML 2.0 向け設定を完了するために必要な手順を記載した新しいページにリダイレクトされます。Identity Provider Sign-On URL、Identity Provider Issuer、X.509 Certificate です。

注: 何らかの理由で ID プロバイダーに関する情報が失われた場合、[Sign On (サインオン)] > [Settings (設定)] > [View Setup Instructions (設定手順を表示)] にいつでも移動することができます。

ユーザーをアプリケーションに割り当てる

ユーザーが OKTA 認証を使用するには、新たに作成されたアプリケーションに割り当ててもらう必要があります。

Okta にログインします。
[Application] (アプリケーション) ページで、新たに作成したアプリケーションを選択します。
[Assignments] タブで、[Assign] > [Assign to People] を選択し、必要な権限を付与するユーザーを選択します。
新たに追加されたユーザーが [People] タブに表示されます。

Okta 認証を利用するように Orchestrator および Identity Server を設定する

Orchestrator でユーザーを定義し、[ユーザー] ページで有効なメールアドレスを設定します。
署名証明書をインポートします。
- Windows デプロイの場合は、Microsoft 管理コンソールを使用して、Windows の証明書ストアに ID プロバイダーから提供された署名済み証明書をインポートします。
- Azure のデプロイの場合は、ID プロバイダーから提供された証明書を Azure ポータルでアップロードします ([TLS/SSL 設定] > [公開証明書 (.cer)] > [公開キー証明書のアップロード])。Okta 認証が使用できず、エラーメッセージ An error occurred while loading the external identity provider. Please check the external identity provider configuration. が表示される場合は、こちらを参照して Web アプリの設定を調整してください。
管理ポータルにシステム管理者としてログインします。
[セキュリティ] に移動します。
[SAML SSO] の [設定] をクリックします。

[SAML SSO の構成] ページが開きます。
以下のように設定します。
- 任意で、連携の有効化後に、SAML 連携を使用したサインインのみをユーザーに許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
- [サービスプロバイダーのエンティティ ID] パラメーターを https://orchestratorURL/identity に設定します。
- [ID プロバイダーのエンティティ ID] パラメーターを Okta 認証の設定により取得した値に設定します (手順 9 参照)。
- [シングルサインオンサービス URL] パラメーターを Okta 認証の設定により取得した値に設定します (手順 9 参照)。
- [未承諾の認証応答を許可] チェックボックスを選択します。
- [戻り先 URL] パラメーターを https://orchestratorURL/identity/externalidentity/saml2redirectcallback に設定します。[戻り先 URL] パラメーターで、URL の最後に /identity/externalidentity/saml2redirectcallback を必ず付加します。このパスは OKTA から直接 Orchestrator 環境に到達できる、OKTA 固有のものです。
- [SAML バインドの種類] パラメーターを HTTP redirect に設定します。
- [署名証明書] セクションの [ストア名] リストから [マイ] を選択します。
- Windows のデプロイの場合は、[ストアの場所] リストから LocalMachine を選択します。Azure Web アプリのデプロイの場合は、CurrentUser を選択します。
- [拇印] フィールドに、Windows 証明書ストアで提供される拇印値を追加します。詳しくはこちらをご覧ください。
  
  注:
  すべての https://orchestratorURL を、Orchestrator インスタンスの URL に置き換えます。
  
  Orchestrator インスタンスの URL の最後にスラッシュを入れないでください。「https://orchestratorURL/identity/」ではなく、必ず「https://orchestratorURL/identity」のように入力します。
[保存] をクリックして、外部 ID プロバイダーの設定に加えた変更を保存します。

ページが閉じ、[セキュリティ設定] ページに戻ります。
[SAML SSO] の左側にあるトグルをクリックし、連携を有効化します。
IIS サーバーを再起動します。