OKTA 認証を構成する
OKTAを使用してOutSystemsアプリケーションのエンドユーザーを認証することができます。この認証方式の構成方法はSAML 2.0とよく似ています。
OKTA認証方式でも、現在のSAML 2.0実装の制限が適用されます。OKTAエンドユーザー認証を使用する場合は、これらを確認してください。
エンドユーザーに対するOKTA認証を設定するには、以下の手順を実行します。
-
OKTA管理ページにサインインします。[Classic UI]ビューを使用していることを確認します。 [Applications > Applications]を選択して[Applications]画面を開き、[Add Application]をクリックします。
-
[Create New App]をクリックします。
-
プラットフォームとして[
Web
]を選択し、サインオン方式として[SAML 2.0
]を選択します。[Create]をクリックします。 -
アプリケーションの名前を入力し、アプリのロゴ(オプション)を選択します。[Next]をクリックします。
-
Usersアプリケーションで、[Authentication]で[
OKTA
]を選択し、[1. Service Provider Connector Settings]に入力します。[Attribute Statements (Claims)]セクションの各フィールドには、以下の値を使用することを推奨します。
Given Name Attribute =
given
Surname Attribute =surname
Email Attribute =email
Username Attribute =username
External Id Attribute =username
-
[(Keystore certificate)]をクリックし、キーストア証明書をダウンロードします。
このファイルは、後でOKTAポータルで構成を行うとき(手順9)に使用します。 -
OKTAポータルで、[General > SAML Settings]の各フィールドを構成します。[Single sign on URL]フィールドと[Audience URI (SP Entity ID)]フィールドの値を以下に表示されているように入力するか、前にUsersアプリケーションで構成した(手順5)とおりに入力します。
次へ進む前に、[Show Advanced Settings]をクリックし、構成が必要な追加フィールドを表示します。
-
[Enable Single Logout]チェックボックスを選択し、[Single Logout URL]フィールドと[SP Issuer]フィールドにUsersアプリケーションの対応する値を入力します。
[SP Issuer]フィールドに[Audience URI (SP Entity ID)]フィールド(手順7)と同じ値を入力します。 -
[Signature Certificate]フィールドで、Usersアプリケーションからダウンロードした証明書ファイル(手順6)をアップロードします。
-
[Attribute Statements]セクションで、アトリビュートステートメントが合計4行になるまで[Add Another]をクリックし、Usersアプリケーションで構成した各クレームのアトリビュートを追加します。
以下の推奨値に従い、これら4行の[Name]フィールドと[Value]フィールドに入力します。
Name =
given
(前にUsersで入力した値)/ Value =user.firstName
Name =surname
/ Value =user.lastName
Name =email
/ Value =user.email
Name =username
/ Value =user.login
フィールドを作成して入力した後、[Next]をクリックします。
-
状況に応じて[Are you a customer or a partner?]という質問に回答し、[Finish]をクリックします。
-
[Identity Provider metadata]リンクを右クリックして[Save Link As]を選択し、IDプロバイダ(IdP)のメタデータファイルをダウンロードします。
-
Usersアプリケーションで、[Upload from IdP/Federation Metadata XML]をクリックして前の手順で取得したメタデータファイルをアップロードし、[Save]をクリックします。
-
続行するには、新しいOKTAアプリケーションをユーザーまたはグループが割り当てる必要があります。この割り当てはOKTAポータルで行うことができます。詳細については、OKTAのドキュメントをご覧ください。
-
Usersアプリケーションにもう一度ログインして、新しい認証設定をテストします。
ログインできたら、Usersアプリケーションからログアウトします。 -
UsersアプリケーションからOKTAのログインページにリダイレクトされます。OKTAユーザー資格情報を入力します。
認証に成功すると、ブラウザによってUsersアプリケーションにリダイレクトされます。
OKTAユーザーが初めてログインする場合、「Invalid Permissions」というメッセージが表示されることがあります。これは、この時点でOutSystemsでユーザーがプロビジョニングされ、ロールがまだ関連付けられていないためです。ユーザーが初めてログインした後にユーザーロールを構成する必要があります。
認証に成功しなかった場合は、構成の設定をダブルチェックします。
注記: 古いバージョンのOutSystems UIを使用している場合は、「OutSystemsアプリケーションの認証フローを確認するでSAML 2.0認証方式について説明されているように、OutSystemsアプリケーションのログアウトフローを変更する必要があります。
OKTA認証に関する問題をトラブルシューティングする
OKTAエンドユーザー認証方式はSAML 2.0認証方式と非常に似ているため、同じ方法でトラブルシューティングを行うことができます。
- エンドユーザー認証の際にやりとりされるOKTAメッセージの詳細については、[SAML Message Logs]ページをご覧ください。
- エンドユーザー認証の構成の設定が不適切なためにロックアウトされた場合は、「ロックアウトされたときにUsersアプリケーションにアクセスする」と同じ方法を使用できます。