Skip to main content

 

 

 

 
Language:
 
従来のWebアプリとリアクティブWebアプリにのみ適用されます
Service Studioバージョン :
 
 
OutSystems

Okta認証を構成する

Platform Server Release Jul.2019 CP2(11.0.542.0)以降が必要です。

Oktaを使用してOutSystemsアプリケーションのエンドユーザーを認証することができます。この認証方式の構成方法はSAML 2.0とよく似ています。

Oktaでも、現在のSAML 2.0実装の制限が適用されます。Oktaエンドユーザー認証を使用する場合は、これらを確認してください。

Oktaの構成

Okta認証を構成するには、以下の大まかの手順を実行する必要があります。

  1. Usersアプリで全体的なOkta認証の設定を構成する
  2. Oktaポータルでアプリケーションを作成する
  3. OktaアプリケーションのSAMLの設定を構成する
  4. Usersアプリで構成を完了する
  5. Oktaアプリケーションにユーザーまたはグループを割り当てる
  6. 構成をテストする
  7. Usersアプリでユーザーロールを構成する
  8. 最終的な確認と構成を実行する

以下のセクションでこれらの手順の詳細について説明します。

Usersアプリで全体的なOkta認証の設定を構成する

  1. Usersアプリケーションで、右サイドバーにある[Configure Authentication]をクリックします。

  2. Authentication]で[Okta]を選択します(A)。

    UsersアプリのConfigure Authentication画面

  3. 1. Service Provider Connector Settings]に入力します(B)。[Attribute Statements (Claims)]の各設定には、以下の値を使用することを推奨します。

    Given Name Attribute = given
    Surname Attribute = surname
    Email Attribute = email
    Username Attribute = username
    External Id Attribute = username

  4. Download KeyStore Certificate]をクリックして証明書のPEMファイルをダウンロードします。

    Download KeyStore Certificateリンク

Oktaポータルでアプリケーションを作成する

  1. Oktaポータルにサインインし、[Admin]をクリックして[Developer Console]に移動します。

    OktaでのDeveloper Consoleへの移動

  2. [Classic UI]ビューに切り替えます。ページの上部にある[Developer Console]の上にマウスカーソルを置き、[Classic UI]を選択します。

    OktaでのClassic UIへの切り替え

  3. Applications > Applications]を選択して[Applications]画面を開きます。

    ApplicationsメニューでのApplicationsの選択

  4. Add Application]をクリックします。

    Applications画面でのAdd Applicationのクリック

  5. Create New App]をクリックします。

    Create New Appボタン

  6. プラットフォームとして[Web]を選択し、サインオン方式として[SAML 2.0]を選択します。[Create]をクリックします。

    基本的なOktaアプリの設定 - プラットフォームおよびサインオン方式

  7. アプリケーションの名前を入力し、アプリのロゴ(オプション)を選択します。

    基本的なOktaアプリの設定 - 名前およびロゴ

  8. Next]をクリックします。

OktaアプリケーションのSAMLの設定を構成する

  1. General > SAML Settings]で各フィールドを構成します。

    Usersアプリケーションの構成に基づき、[Single sign on URL]フィールドと[Audience URI (SP Entity ID)]フィールドの値を入力します。

    OktaのSAMLの設定

  2. Show Advanced Settings]をクリックし、構成が必要な追加フィールドを表示します。

    Oktaに特有の2つの構成は、Usersアプリの設定値によって変わります。

    Usersアプリに戻り、[1. Service Provider Connector Settings]セクションまでスクロールして、[Show Advanced Options]をクリックします。

    UsersアプリのAccept Only Signed Login Responsesオプション

    Accept Only Signed Login Responses]オプションが有効になっている場合、対応するOktaのオプションを有効にします。

    • Response]フィールドと[Assertion Signature]フィールドを[Signed]に設定します。

      OktaのResponseオプションとAssertion SignatureオプションのSignedへの設定

  3. Allow application to initiate Single Logout]チェックボックスを選択します。

    Oktaのシングルログアウトオプション

  4. Single Logout URL]フィールドと[SP Issuer]フィールドにUsersアプリケーションの対応する値を入力します。
    SP Issuer]フィールドに[Audience URI (SP Entity ID)]フィールドと同じ値を入力します。

  5. Signature Certificate]フィールドで[Browse...]をクリックして、Usersアプリケーションからダウンロードした証明書のPEMファイルを選択します。

    Oktaでの署名証明書の選択

  6. Upload Certificate]をクリックします。

  7. [Attribute Statements]セクションで、[Add Another]をクリックし、Usersアプリケーションで構成した各クレームのアトリビュートを追加します。

    以下の推奨値に従い、[Name]フィールドと[Value]フィールドに入力します。

    Name = given(前にUsersで入力した値)/ Value = user.firstName
    Name = surname / Value = user.lastName
    Name = email / Value = user.email
    Name = username / Value = user.login

    注記: NameとValueでは、大文字と小文字が区別されます。値を入力するのではなくドロップダウンで選択することを検討してください。

    アトリビュートステートメントの構成

  8. フィールドを作成して入力した後、[Next]をクリックします。

  9. 状況に応じて[Are you a customer or a partner?]という質問に回答し、[Finish]をクリックします。

    ユーザーかパートナーかを尋ねる質問

  10. Identity Provider metadata]リンクを右クリックして[Save Link As]を選択し、IDプロバイダ(IdP)のメタデータXMLファイルをダウンロードします。

    IDプロバイダのメタデータXMLファイルのダウンロード

Usersアプリで構成を完了する

Usersアプリに戻り、前の手順でダウンロードしたXMLファイルをアップロードします。

  1. Configure Authentication]ページの[2. IdP Server Settings]セクションに移動します。

  2. Upload from IdP/Federation Metadata XML]をクリックします。

    Usersアプリでのメタデータファイルのアップロード

  3. OktaからダウンロードしたフェデレーションのメタデータXMLファイルを選択します。

  4. Save]をクリックします。

Oktaアプリケーションにユーザーまたはグループを割り当てる

続行するには、新しいOktaアプリケーションをユーザーまたはグループに割り当てます。この割り当てはOktaポータルで行うことができます。

手順の詳細については、Oktaのドキュメントをご覧ください。

構成をテストする

  1. Usersアプリにまだログインしている場合はログアウトします。UsersアプリからOktaのログインページにリダイレクトされます。

  2. 前の「Oktaアプリケーションにユーザーまたはグループを割り当てる」でOktaアプリケーションに関連付けたユーザーの資格情報を入力します。

認証が成功すると、ブラウザによってリダイレクトされてUsersアプリに戻り、画面を表示する権限がないことを示すエラーメッセージが表示されます。

UsersアプリでのInvalid Permissions(無効な権限)エラーの表示

これは、Okta認証のテストに使用したユーザーにOutSystemsのロールがまだ割り当てられていないために起こります。ユーザーがOkta認証を使用して初めてログインした後、Usersアプリでユーザーロールを付与することで、OutSystemsデータベース内にユーザーがすでに存在しているようにする必要があります。

認証に成功しなかった場合は、構成の設定をダブルチェックします。

Usersアプリでユーザーロールを構成する

現在、エンドユーザーにロールを付与するために必要な権限を持たないユーザーアカウントでログインしています。最初は管理者アカウントでログインする必要があります。

以下の手順を実行します。

  1. 現在のユーザーには必要なロールがないため、Usersアプリからログアウトします。

  2. 以下のURLを開きます。

    https://<サーバー名>/Users/Login.aspx

    この特定のURLを使用すると、現在構成されている外部認証方式(Okta)をスキップしてUsersアプリにログインできます。

  3. 管理者アカウントでログインします。

これで、ユーザーにOutSystemsのロールを付与するための権限が得られます。詳細については、「ロールをエンドユーザーに付与する」をご覧ください。

最終的な確認と構成を実行する

SAML 2.0認証を使用するときと同様に、最後に以下の2つのタスクを実行する必要があります。

  1. OutSystemsアプリケーションの認証フローが外部認証をすでにサポートしているかどうかを確認します。SAML 2.0認証方式での手順がOktaにも適用されます。

  2. リアクティブWebアプリでOkta認証を使用する場合は、Service Centerで[Single Sign-On Between App Types]設定を有効にします

Okta認証に関する問題をトラブルシューティングする

Oktaエンドユーザー認証方式はSAML 2.0認証方式と非常に似ているため、同じ方法でトラブルシューティングを行うことができます。

  • Was this article helpful?