Oktaを利用するユーザがアプリケーションにアクセスするには、通常ユーザダッシュボードからアプリケーションのアイコン(Chiclet)をクリックします。このChicletは、組織の管理者がユーザにアプリケーションを割り当てると表示される仕組みになっていますが、アプリケーションの仕様によってChicletをクリックしてもうまく動作しないことがあります。 これは、以下2種類のSAML認証方式の内SP-initiatedのみに対応していることが原因の場合があります。この記事では、IdP-initiated SSOとSP-initiated SSOの違いとSP-initiatedのみに対応のアプリケーションをユーザに割り当てる際のコツをご紹介します。 IdP-initiated SSOとSP-initiated SSOの違い [IdP-initiated SSO] Identity Provider (IdP)がSAML認証を開始する方式。OktaのダッシュボードでアプリケーションのChicletをクリックすることで、OktaがSAMLレスポンスを作成してアプリケーションへ渡す。 [SP-initiated SSO] Service Provider (SP)がSAML認証を開始する方式。ユーザがアプリケーションにアクセスすることで、アプリケーションからOktaへSAMLリクエストを送り、OktaがSAMLレスポンスを返す。 *Okta Integration Network (OIN)に登録のアプリケーションについては、どの認証方式をサポートしているかを各アプリケーションのSetup Intructionsより「Supported Features」にて確認できます。 管理ダッシュボード: Applications → Applications → 該当アプリケーション → Sign On → Settings → Sign on methods, SAML 2.0 “View Setup Instructions.” SP-initiatedのみに対応のアプリケーションをユーザに割り当てる際のコツ SP-initiatedのみ対応: Cybozuの例 IdP-initiated, SP-initiated両方に対応: Jobcanの例 SP-initiatedのみに対応のアプリケーションは、Okta上では「受け」の役割であり、SP(アプリケーション)からのSAMLのリクエストが来て初めて動作することとなります。そのため、Okta上でChicletをクリックしてもIdP-initiatedの様には動作しません。 以下の対応策を行うことにより、IdP-initiatedの様にChicletをクリックするだけでアプリケーションへ正常アクセスできる様になります。 参考: Bookmark Appの設定マニュアル https://support.okta.com/help/s/article/How-do-you-create-a-bookmark-app?language=ja https://help.okta.com/en/prod/Content/Topics/Apps/Apps_Bookmark_App.htm <対応策> Cybozu, キントーンを例にステップごとにご説明します。 SP-initiatedのみに対応のアプリケーションを追加した後、アプリケーション(Chiclet)をユーザダッシュボードに表示させない様に設定する 管理ダッシュボード: Applications → Applications → Cybozu → General → App Settings → Application visibilityにて2つの設定を有効化 Oktaの管理者ダッシュボードにて Applications → Applications → Add Application もしくはBrowse App Catalog 検索ボックスに「Bookmarkと入力し、検索結果の「Bookmark App」を追加 アプリケーション名とURLを入力する: 今回は例としてCybozuのkintoneを利用 Cybozu: OIN登録のアプリケーションでありkintoneなどの4サービスへのSAML SSO設定用 キントーン: https://[サブドメイン].cybozu.com/k/でアクセスできる実サービス *URLはSP-initiated flowが開始されるアプリケーション側のURLを指定 [OIN登録アプリケーションの場合は設定ガイドの下部に記載あり] 管理ダッシュボード: Applications → Applications → Cybozu → Sign On → Settings → Sign on methods, SAML 2.0 “View Setup Instructions” cybozu.comトップではなく各サービスに直接アクセスする場合は以下を指定: Garoon… https://[サブドメイン].cybozu.com/g/ サイボウズOffice… https://[サブドメイン].cybozu.com/o/ kintone… https://[サブドメイン].cybozu.com/k/ メールワイズ... https://[サブドメイン].cybozu.com/m/ ユーザが直感的に認識できるよう、アプリケーションロゴを設定 ロゴは各企業のブランドガイドラインページなどで公開している場合が多い: Cybozuの場合はこちらにて公開 https://cybozu.co.jp/logotypes/ 作成したBookmark Appにユーザを割り当てる ユーザダッシュボードにてBookmark AppのChicletをクリックすると、アプリケーションのURLに遷移してSP-initiated SSO flowを開始する 無事にアプリケーションにSSOが完了