SP-initiatedのみに対応のアプリをユーザに割り当てるコツ

Oktaを利用するユーザがアプリケーションにアクセスするには、通常ユーザダッシュボードからアプリケーションのアイコン(Chiclet)をクリックします。このChicletは、組織の管理者がユーザにアプリケーションを割り当てると表示される仕組みになっていますが、アプリケーションの仕様によってChicletをクリックしてもうまく動作しないことがあります。

これは、以下2種類のSAML認証方式の内SP-initiatedのみに対応していることが原因の場合があります。この記事では、IdP-initiated SSOとSP-initiated SSOの違いとSP-initiatedのみに対応のアプリケーションをユーザに割り当てる際のコツをご紹介します。

IdP-initiated SSOとSP-initiated SSOの違い

[IdP-initiated SSO]

Identity Provider (IdP)がSAML認証を開始する方式。OktaのダッシュボードでアプリケーションのChicletをクリックすることで、OktaがSAMLレスポンスを作成してアプリケーションへ渡す。

[SP-initiated SSO]

Service Provider (SP)がSAML認証を開始する方式。ユーザがアプリケーションにアクセスすることで、アプリケーションからOktaへSAMLリクエストを送り、OktaがSAMLレスポンスを返す。

＊Okta Integration Network (OIN)に登録のアプリケーションについては、どの認証方式をサポートしているかを各アプリケーションのSetup Intructionsより「Supported Features」にて確認できます。

管理ダッシュボード: Applications → Applications → 該当アプリケーション → Sign On → Settings → Sign on methods, SAML 2.0 “View Setup Instructions.”

SP-initiatedのみに対応のアプリケーションをユーザに割り当てる際のコツ

SP-initiatedのみ対応: Cybozuの例

IdP-initiated, SP-initiated両方に対応: Jobcanの例

SP-initiatedのみに対応のアプリケーションは、Okta上では「受け」の役割であり、SP(アプリケーション)からのSAMLのリクエストが来て初めて動作することとなります。そのため、Okta上でChicletをクリックしてもIdP-initiatedの様には動作しません。

以下の対応策を行うことにより、IdP-initiatedの様にChicletをクリックするだけでアプリケーションへ正常アクセスできる様になります。

参考: Bookmark Appの設定マニュアル

https://support.okta.com/help/s/article/How-do-you-create-a-bookmark-app?language=ja

https://help.okta.com/en/prod/Content/Topics/Apps/Apps_Bookmark_App.htm

<対応策>  Cybozu, キントーンを例にステップごとにご説明します。

1. SP-initiatedのみに対応のアプリケーションを追加した後、アプリケーション(Chiclet)をユーザダッシュボードに表示させない様に設定する

管理ダッシュボード: Applications → Applications → Cybozu → General → App Settings → Application visibilityにて２つの設定を有効化

2. Oktaの管理者ダッシュボードにて Applications → Applications → Add Application
   もしくはBrowse App Catalog

3. 検索ボックスに「Bookmarkと入力し、検索結果の「Bookmark App」を追加

4. アプリケーション名とURLを入力する: 今回は例としてCybozuのkintoneを利用

• Cybozu: OIN登録のアプリケーションでありkintoneなどの4サービスへのSAML SSO設定用
• キントーン: https://[サブドメイン].cybozu.com/k/でアクセスできる実サービス

*URLはSP-initiated flowが開始されるアプリケーション側のURLを指定

[OIN登録アプリケーションの場合は設定ガイドの下部に記載あり]

管理ダッシュボード: Applications → Applications → Cybozu → Sign On → Settings → Sign on methods, SAML 2.0 “View Setup Instructions”

cybozu.comトップではなく各サービスに直接アクセスする場合は以下を指定:

Garoon… https://[サブドメイン].cybozu.com/g/

サイボウズOffice… https://[サブドメイン].cybozu.com/o/

kintone… https://[サブドメイン].cybozu.com/k/

メールワイズ... https://[サブドメイン].cybozu.com/m/

5. ユーザが直感的に認識できるよう、アプリケーションロゴを設定

ロゴは各企業のブランドガイドラインページなどで公開している場合が多い:
Cybozuの場合はこちらにて公開 https://cybozu.co.jp/logotypes/

6. 作成したBookmark Appにユーザを割り当てる

7. ユーザダッシュボードにてBookmark AppのChicletをクリックすると、アプリケーションのURLに遷移してSP-initiated SSO flowを開始する

無事にアプリケーションにSSOが完了