Okta でのシングルサインオン
Okta でのシングルサインオン
企業またはユニットの管理者は、各ユニットでシングルサインオン (SSO) を有効にできます。SAML 2.0 アイデンティティプロバイダー (IdP) を選択して、クラウドバックアップアカウントにパスワードを覚えることなくサインインできます。
Okta でシングルサインオン (SSO) を設定するには、管理者は以下を行う必要があります。
Okta (SCIM) 経由でユーザーの SSO プロビジョニングを設定する方法
Okta コンソールでアプリを作成
Okta コンソールでアプリを作成し、SSO のアイデンティティプロバイダーとして使用します。
アプリを作成するには、
- Okta アカウントの認証情報で Okta コンソールにログインします。
- 右上の「Admin」をクリックして管理コンソールに移動します。
注: この手順は管理者エンドユーザーアカウントでログインしている場合のみ該当します。
- 「Applications」タブに移動し、「Add Application」をクリックします。
- 「Create App Integration」をクリックします。
- サインオン方法として「SAML 2.0」を選択し、「Create」をクリックします。
- アプリ名を入力し、「Next」をクリックします。
- シングルサインオン URL とオーディエンス URL を各フィールドに入力し、「Name ID format」ドロップダウンリストから「Email Address」を選択して「Next」をクリックします。
- シングルサインオン URL: https://webapp.idrive360.com/api/sso/process
- オーディエンス URL: https://webapp.idrive360.com/api/sso/metadata
- 「I'm an Okta customer adding an internal app」ラジオボタンを選択し、「Finish」をクリックします。
- 「View SAML Setup Instructions」をクリックします。SAML 2.0 シングルサインオンログイン URL、Issuer URL、X.509 証明書が記載されたページに移動します。これらをコピーして後でクラウドバックアップアカウントの構成時に使用します。
アプリにユーザーを割り当て
ユーザーアカウントで SSO を有効にするには、管理者は Okta コンソールで新しいアプリにユーザーを割り当てる必要があります。
ユーザーを割り当てるには、
- Okta コンソールで新しいアプリを起動します。
- 「Assign」をクリックします。
- 「Assign to Users」を選択し、SSO 用のユーザーを割り当てます。
クラウドバックアップアカウントで SSO を構成
管理者は、Okta から受け取った SAML 2.0 URL と証明書を管理コンソールのシングルサインオン構成フォームに入力する必要があります。
SSO を構成するには、
- クラウドバックアップアカウントにサインインし、「管理コンソールへ移動」をクリックします。
- 「設定」タブで「シングルサインオン (SSO)」セクションに移動します。
- 「Issuer URL」「SAML 2.0 シングルサインオンログイン URL」「X.509 証明書」を 新しく作成した Okta コンソールのアプリ から入力します。
注: X.509 証明書は .pem または .cer 形式のみ対応しています。
- 「シングルサインオンを構成」をクリックします。
SSO が有効になると確認メールが届きます。
シングルサインオンプロビジョニング設定 - Okta (SCIM)
IDrive® 360 アカウントの管理者は、IdP からユーザーのプロビジョニングを設定できます。IDrive® 360 は SCIM (System for Cross-domain Identity Management) プロビジョニング方式に対応しています。
Okta でシングルサインオン (SSO) プロビジョニングを設定するには、管理者は以下を行う必要があります。
IDrive® 360 アカウントで SCIM プロビジョニングトークンを生成
管理者は SCIM (System for Cross-domain Identity Management) プロビジョニングトークンを生成し、IdP に紐づくすべてのユーザーを IDrive® 360 アカウントに同期できます。
トークンを生成するには、
- IDrive® 360 アカウントにサインインします。
- 「管理コンソールへ移動」をクリックします。
- 「設定」>「シングルサインオン (SSO)」に移動します。
- 「アイデンティティプロバイダーからユーザーを同期」内の「トークンを生成」をクリックしてトークンを生成します。
- 「トークンをコピー」をクリックして、今後の参照用に保存します。
SCIM プロビジョニングの構成
アプリが作成されたら、管理者は SCIM プロビジョニングを構成できます。
SCIM プロビジョニングを構成するには、
- Okta アカウントの認証情報で Okta コンソールにログインします。
- 「Applications」から新しく作成したアプリをクリックします。
- 「General」に移動します。
- 「App Settings」横の「Edit」をクリックし、SCIM プロビジョニングを有効にします。
- 「Save」をクリックします。
- 「Provisioning」に移動します。
- 「SCIM Connection」横の「Edit」をクリックし、以下のように設定します。
- SCIM コネクターベース URL: https://webapp.idrive360.com/api/scim/v2
- ユーザーの一意識別子: userName
- 対応プロビジョニングアクション: 以下のオプションを有効化:
- Push New Users
- Push Profile Updates
- 認証モード: HTTP Header
- 認可: IDrive® 360 アカウントで生成した SCIM プロビジョニングトークンを入力
- 「Save」をクリックします。
- 「To App」内で「Provisioning to App」横の「Edit」をクリックします。
- 以下のオプションを有効化するため「Enable」をクリックします。
- ユーザー作成
- ユーザー属性の更新
- ユーザーの無効化
- パスワード同期
- 「Password type」では「Sync a randomly generated password」を選択します。
- 「Password cycle」では「ユーザーの Okta パスワードが変更されるたびに新しいランダムパスワードを生成」を選択します。
- 「Save」をクリックします。
SCIM 属性マッピング
SCIM 属性マッピングの手順:
- 「Profile Editor」に移動し、「Add Attribute」をクリックします。
- 以下の情報を入力します。
- データ型: String
- 表示名: IDrive360 Role
- 変数名: idrive360_role
外部名: roles.^[primary == true].value - 外部名前空間: urn:ietf:params:scim:schemas:core:2.0:User
- 説明: IDrive360 Role
- 列挙型: 「Define enumerated list of values」にチェックを入れる
- 属性メンバー: 以下を入力
ユーザーロール 値 アカウントオーナー 1 会社管理者 2 バックアップ管理者 7 ユーザー (デバイス追加・管理) 3 リストアユーザー 4 バックアップユーザー 5 バックアップ&リストアユーザー 6 - 必須属性: はい
- 属性タイプ: 個人
注: ロール値はアプリケーションのコードで定義されたものと完全一致する必要があります。
- 「Save and Add Attribute」をクリックします。
- プロビジョニング設定で属性を構成
- 「Applications」->「Provisioning」タブ > To App に戻ります。
- Attribute Mappings で新しく追加した属性 (例: IDrive360 Role) までスクロールします。
をクリックし、「全ユーザーに同じ値を設定」を選択し、デフォルトで割り当てるロール (例: バックアップユーザー) を選択します。 - 「Apply on」では「Create」を選択します。
- 「Save」をクリックします。
プロビジョニング済みアプリにユーザー/グループを割り当て
プロビジョニングを開始するには、管理者がアプリにユーザーを割り当てる必要があります。
ユーザーを割り当てるには、
- Okta コンソールで新しいアプリを起動します。
- 「Assignments」に移動します。
- 「Assign」をクリックし、「Assign to People」を選択して個別ユーザーをプロビジョニングします。
- 必要に応じて IDrive360 でプロビジョニングされるユーザーのロールなどのプロパティを編集します。
注: 新しいユーザーを追加するには、「Directory」>「People」に移動し、「Add person」をクリックします。