Orchestrator ユーザー ガイド

新しい Orchestrator インスタンスを認識するように Okta を設定する​

1. Okta にログインします。次の設定が [Classic UI] ビューで行われます。これは、ウィンドウの右上隅のドロップダウンから変更できます。

2. [ Application (アプリケーション )] タブで、[ 新しいアプリを作成] を選択します。[ Create a New Application Integration (新しいアプリケーション統合を作成 )] ウィンドウが表示されます。
3. サインオン方式として SAML 2.0 を選択し、[作成] を選択します。

4. 新しい統合に対して、[General Settings] (一般設定) ウィンドウでアプリケーション名を入力します。
5. [SAML Settings (SAML 設定)] ウィンドウの [General (全般)] セクションに、次の例に従って入力します。
   • シングル サインオン URL: Orchestrator インスタンスの URL + /identity/Saml2/Acs.たとえば、https://orchestratorURL/identity/Saml2/Acs です。
   • [Use this for Recipient URL and Destination URL] (これを受信者 URL と宛先 URLに使用する) チェック ボックスを有効化します。
   • Audience URI (オーディエンス URL): https://orchestratorURL/identity
   • Name ID Format (名前 ID 形式): EmailAddress (メール アドレス)
   • Application Username (アプリケーションのユーザー名): Email (メール アドレス)
     注:

     Orchestrator インスタンスの URL を入力する際は常に、URL の最後にスラッシュを入れないようにしてください。必ず https://orchestratorURL/identity のように入力し、https://orchestratorURL/identity/ のようには入力しないでください。

6. [Show Advanced Settings (詳細設定を表示)] を選択して、[Attribute Statements (属性ステートメント)] セクションに入力します。
   • [名前] フィールドを http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress に設定して、[値] ドロップダウンから「user.email」を選択します。

7. Okta 証明書をダウンロードします。
8. [Feedback (フィードバック)] セクションで、適切なオプションを選択して、[Finish (終了)] を選択します。
9. [ Sign On (サインオン )] タブの [Settings (設定 )] セクションで、[ Setup Instructions (設定手順)] を選択します。Orchestrator の SAML 2.0 向け設定を完了するために必要な手順を記載した新しいページにリダイレクトされます。 Identity Provider Sign-On URL、 Identity Provider Issuer、 X.509 Certificate です。
   注:

   何らかの理由で ID プロバイダーに関する情報が失われた場合、[Sign On (サインオン)] > [Settings (設定)] > [View Setup Instructions (設定手順を表示)] にいつでも移動することができます。

ユーザーをアプリケーションに割り当てる​

1. Okta にログインします。
2. [Application] (アプリケーション) ページで、新たに作成したアプリケーションを選択します。
3. [割り当て] タブで、[割り当て] > [ユーザーに割り当て] を選択し、必要な権限を付与するユーザーを選択します。

4. 新たに追加されたユーザーが [People] (ユーザー) タブに表示されます。

Okta 認証を利用するように Orchestrator および Identity Server を設定する​

1. Orchestrator でユーザーを定義し、[ユーザー] ページで有効なメール アドレスを設定します。
2. 署名証明書をインポートします。
   • Windows デプロイの場合は、Microsoft 管理コンソールを使用して、Windows の証明書ストアに ID プロバイダーから提供された署名済み証明書をインポートします。
   • Azure デプロイの場合、ID プロバイダーから提供された証明書を Azure ポータルでアップロードします([公開証明書 (.cer)] > [公開キー証明書のアップロード] > [TLS/SSL 設定])。Okta 認証が使用できず、「外部 ID プロバイダー」というエラーメッセージが表示される場合は、「よく発生する Orchestrator エラー」を参照して Web アプリの設定を調整してくださいAn error occurred while loading the external identity provider. Please check the external identity provider configuration.。
3. 管理ポータルにシステム管理者としてログインします。
4. [セキュリティ] に移動します。
5. [SAML SSO] の [設定] を選択します。

6. 以下のように設定します。
   • 任意で、連携の有効化後に、SAML 連携を使用したサインインのみをユーザーに許可する場合は、[このプロバイダーを使用した自動ログインを強制] チェックボックスをオンにします。
   • [サービス プロバイダーのエンティティ ID] パラメーターを https://orchestratorURL/identity に設定します。
   • [ ID プロバイダーのエンティティ ID ] パラメーターを Okta 認証の設定により取得した値に設定します ( 手順 9 参照)。
   • [シングル サインオン サービス URL] パラメーターを Okta 認証の設定により取得した値に設定します (手順 9 参照)。
   • [未承諾の認証応答を許可] チェック ボックスを選択します。
   • [戻り先 URL] パラメーターを https://orchestratorURL/identity/externalidentity/saml2redirectcallback に設定します。[戻り先 URL] パラメーターで、URL の最後に /identity/externalidentity/saml2redirectcallback を必ず付加します。このパスは Okta から直接 Orchestrator 環境に到達できる、Okta 固有のものです。
   • [SAML バインドの種類] パラメーターを HTTP redirect に設定します。
   • [署名証明書] セクションの [ストア名] リストから [マイ] を選択します。
   • Windows のデプロイの場合は、[ストアの場所] リストから LocalMachine を選択します。Azure Web アプリのデプロイの場合は、CurrentUser を選択します。
   • [ 拇印 ] フィールドに、Windows 証明書ストアで提供される拇印値を追加します。詳しくはこちらをご覧ください。
     注:

     すべての https://orchestratorURL を、Orchestrator インスタンスの URL に置き換えます。 Orchestrator インスタンスの URL の最後にスラッシュを入れないでください。「https://orchestratorURL/identity/」ではなく、必ず「https://orchestratorURL/identity」のように入力します。

7. [保存] を選択して、外部 ID プロバイダーの設定に加えた変更を保存します。

8. [SAML SSO] の左側にあるトグルを選択し、連携を有効化します。
9. IIS サーバーを再起動します。