SP-initiatedのみに対応のアプリケーションをユーザに割り当てる際のコツ

Oktaを利用するユーザがアプリケーションにアクセスするには、通常ユーザダッシュボードからアプリケーションのアイコン(Chiclet)をクリックします。このChicletは、組織の管理者がユーザにアプリケーションを割り当てると表示される仕組みになっていますが、アプリケーションの仕様によってChicletをクリックしてもうまく動作しないことがあります。

これは、以下2種類のSAML認証方式の内SP-initiatedのみに対応していることが原因の場合があります。

[IdP-initiated SSO]

Identity Provider (IdP)がSAML認証を開始する方式。OktaのダッシュボードでアプリケーションのChicletをクリックすることで、OktaがSAMLレスポンスを作成してアプリケーションへ渡す。

[SP-initiated SSO]

Service Provider (SP)がSAML認証を開始する方式。ユーザがアプリケーションにアクセスすることで、アプリケーションからOktaへSAMLリクエストを送り、OktaがSAMLレスポンスを返す。

*Okta Integration Network (OIN)に登録のアプリケーションについては、どの認証方式をサポートしているかを各アプリケーションのSetup Intructionsより「Supported Features」にて確認できます。

管理ダッシュボード: Applications → Applications → 該当アプリケーション → Sign On → Settings → Sign on methods, SAML 2.0 “View Setup Instructions”

SP-initiatedのみ対応: Cybozuの例

SP-initiatedのみ対応: Cybozuの例

IdP-initiated, SP-initiated両方に対応: Jobcanの例

IdP-initiated, SP-initiated両方に対応: Jobcanの例

SP-initiatedのみに対応のアプリケーションは、Okta上では「受け」の役割であり、SP(アプリケーション)からのSAMLのリクエストが来て初めて動作することとなります。そのため、Okta上でChicletをクリックしてもIdP-initiatedの様には動作しません。

以下の対応策を行うことにより、IdP-initiatedの様にChicletをクリックするだけでアプリケーションへ正常アクセスできる様になります。

参考: Bookmark Appの設定マニュアル

https://support.okta.com/help/s/article/How-do-you-create-a-bookmark-app?language=ja

https://help.okta.com/en/prod/Content/Topics/Apps/Apps_Bookmark_App.htm

 

<対応策>  Cybozu, キントーンを例にステップごとにご説明します。

  1. SP-initiatedのみに対応のアプリケーションを追加した後、アプリケーション(Chiclet)をユーザダッシュボードに表示させない様に設定する

管理ダッシュボード: Applications → Applications → Cybozu → General → App Settings → Application visibilityにて2つの設定を有効化

Application visibilityにて2つの設定を有効化

  1. Oktaの管理者ダッシュボードにて Applications → Applications → Add Application
    もしくはBrowse App Catalog

Browse App Catalog

  1. 検索ボックスに「Bookmarkと入力し、検索結果の「Bookmark App」を追加

検索ボックスに「Bookmarkと入力し

検索結果の「Bookmark App」を追加

  1. アプリケーション名とURLを入力する: 今回は例としてCybozuのkintoneを利用
  • Cybozu: OIN登録のアプリケーションでありkintoneなどの4サービスへのSAML SSO設定用
  • キントーン: https://[サブドメイン].cybozu.com/k/でアクセスできる実サービス

アプリケーション名とURLを入力する

*URLはSP-initiated flowが開始されるアプリケーション側のURLを指定

[OIN登録アプリケーションの場合は設定ガイドの下部に記載あり]

管理ダッシュボード: Applications → Applications → Cybozu → Sign On → Settings → Sign on methods, SAML 2.0 “View Setup Instructions”

[OIN登録アプリケーションの場合は設定ガイドの下部に記載あり]

cybozu.comトップではなく各サービスに直接アクセスする場合は以下を指定:

Garoon… https://[サブドメイン].cybozu.com/g/

サイボウズOffice… https://[サブドメイン].cybozu.com/o/

kintone… https://[サブドメイン].cybozu.com/k/

メールワイズ... https://[サブドメイン].cybozu.com/m/

  1. ユーザが直感的に認識できるよう、アプリケーションロゴを設定

ユーザが直感的に認識できるよう、アプリケーションロゴを設定

ロゴは各企業のブランドガイドラインページなどで公開している場合が多い:
Cybozuの場合はこちらにて公開 https://cybozu.co.jp/logotypes/

  1. 作成したBookmark Appにユーザを割り当てる

作成したBookmark Appにユーザを割り当てる

  1. ユーザダッシュボードにてBookmark AppのChicletをクリックすると、アプリケーションのURLに遷移してSP-initiated SSO flowを開始する

管理ダッシュボード

logo

無事にアプリケーションにSSOが完了

無事にアプリケーションにSSOが完了