Orchestrator ユーザーガイド

デリバリー:

最終更新日時 2025年4月22日

Okta 認証

新しい Orchestrator インスタンスを認識するように Okta を設定する

注: Okta SAML の設定には次の手順が有効です。次に示す手順は、設定例のおおまかな説明です。詳細な手順については、Okta の公式ドキュメントをご覧ください。

Okta にログインします。次の設定が [Classic UI] ビューで行われます。これは、ウィンドウの右上隅のドロップダウンから変更できます。
[Application (アプリケーション)] タブで、[新しいアプリを作成] を選択します。[Create a New Application Integration (新しいアプリケーション統合を作成)] ウィンドウが表示されます。
サインオン方式として SAML 2.0 を選択し、[作成] を選択します。
新しい統合に対して、[General Settings] (一般設定) ウィンドウでアプリケーション名を入力します。
[SAML Settings (SAML 設定)] ウィンドウの [General (全般)] セクションに、次の例に従って入力します。
- シングルサインオン URL: Orchestrator インスタンスの URL + /identity/Saml2/Acs。例: https://orchestratorURL/identity/Saml2/Acs
- [Use this for Recipient URL and Destination URL] (これを受信者 URL と宛先 URLに使用する) チェックボックスを有効化します。
- Audience URI (オーディエンス URL): https://orchestratorURL/identity
- Name ID Format (名前 ID 形式): EmailAddress (メールアドレス)
- Application Username (アプリケーションのユーザー名): Email (メールアドレス)
  
  注: Orchestrator インスタンスの URL を入力する際は常に、URL の最後にスラッシュを入れないようにしてください。「https://orchestratorURL/identity/」ではなく、必ず「https://orchestratorURL/identity」のように入力します。
[Show Advanced Settings (詳細設定を表示)] を選択して、[Attribute Statements (属性ステートメント)] セクションに入力します。
- [名前] フィールドを http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress に設定して、[値] ドロップダウンから「user.email」を選択します。
Okta 証明書をダウンロードします。
[Feedback (フィードバック)] セクションで、適切なオプションを選択して、[Finish (終了)] を選択します。
[Sign On (サインオン)] タブの [Settings (設定)] セクションで、[Setup Instructions (設定手順)] を選択します。Orchestrator の SAML 2.0 向け設定を完了するために必要な手順を記載した新しいページにリダイレクトされます。Identity Provider Sign-On URL、Identity Provider Issuer、X.509 Certificate です。

注: 何らかの理由で ID プロバイダーに関する情報が失われた場合、[Sign On (サインオン)] > [Settings (設定)] > [View Setup Instructions (設定手順を表示)] にいつでも移動することができます。

ユーザーをアプリケーションに割り当てる

ユーザーが OKTA 認証を使用するには、新たに作成されたアプリケーションに割り当ててもらう必要があります。

Okta にログインします。
[Application] (アプリケーション) ページで、新たに作成したアプリケーションを選択します。
[Assignments] タブで、[Assign] > [Assign to People] を選択し、必要な権限を付与するユーザーを選択します。
新たに追加されたユーザーが [People] タブに表示されます。

Okta 認証を利用するように Orchestrator および Identity Server を設定する

Orchestrator でユーザーを定義し、[ユーザー] ページで有効なメールアドレスを設定します。
署名証明書をインポートします。
- Windows デプロイの場合は、Microsoft 管理コンソールを使用して、Windows の証明書ストアに ID プロバイダーから提供された署名済み証明書をインポートします。
- Azure のデプロイの場合、ID プロバイダーから提供された証明書を Azure ポータルでアップロードします ([TLS/SSL 設定] > [公開証明書 (.cer)] > [公開キー証明書のアップロード])。Okta 認証が使用できず、エラーメッセージ An error occurred while loading the external identity provider. Please check the external identity provider configuration. が表示される場合は、こちらを参照して Web アプリの設定を調整してください。
管理ポータルにシステム管理者としてログインします。
[ユーザー] ページに移動して、[セキュリティ設定] タブを選択します。
[外部プロバイダー] セクションの [SAML 2.0] の [設定] をクリックします。

[SAML 2.0 を構成] パネルがウィンドウの右側に表示されます。
以下のように設定します。
- [有効] チェックボックスをオンにします。
- [サービスプロバイダーのエンティティ ID] パラメーターを https://orchestratorURL/identity に設定します。
- [ID プロバイダーのエンティティ ID] パラメーターを Okta 認証の設定により取得した値に設定します (手順 9 参照)。
- [シングルサインオンサービス URL] パラメーターを Okta 認証の設定により取得した値に設定します (手順 9 参照)。
- [未承諾の認証応答を許可] チェックボックスを選択します。
- [戻り先 URL] パラメーターを https://orchestratorURL/identity/externalidentity/saml2redirectcallback に設定します。[戻り先 URL] パラメーターで、URL の最後に /identity/externalidentity/saml2redirectcallback を必ず付加します。このパスは OKTA から直接 Orchestrator 環境に到達できる、OKTA 固有のものです。
- [SAML バインドの種類] パラメーターを HTTP redirect に設定します。
- [署名証明書] セクションの [ストア名] パラメーターを My に設定します。
- Windows のデプロイの場合は、[ストアの場所] パラメーターを LocalMachine に設定します。Azure Web アプリのデプロイの場合は、CurrentUser に設定します。
- [拇印] パラメーターを Windows 証明書ストアで提供される拇印値に設定します。詳しくは、こちらをご覧ください。
  
  注:
  すべての https://orchestratorURL を、Orchestrator インスタンスの URL に置き換えます。
  
  Orchestrator インスタンスの URL の最後にスラッシュを入れないでください。「https://orchestratorURL/identity/」ではなく、必ず「https://orchestratorURL/identity」のように入力します。
[保存] をクリックして、外部 ID プロバイダーの設定に加えた変更を保存します。
IIS サーバーを再起動します。