シングルサインオン設定手順(Okta版)
本記事ではOktaを利用したシングルサインオン連携方法についてご案内いたします。
-
Verona Cloud Console>オーナー>オーナー編集>シングルサインオン
–識別子(エンティティ ID):
–応答Url:
※①②は次項目のConfigure SAMLで利用しますのでメモなどに控えてください。
-
Oktaにログイン。
-
Admin(管理者)をクリック。
-
「Applications」-「Applications」-「Create App Integration」
-
SAML2.0を選択して[Next]をクリック
-
各タブにて以下の項目をセットして[Next]をクリック
-General Settings
-
App name:V-Client
–Configure SAML※赤枠部分はVeronaの情報を入力
[General]-
Single sign on URL:Verona Cloud Consoleの応答URL(②)
-
Use this for Recipient URL and Destination URL:チェックON
-
Audience URI (SP Entity ID):Verona Cloud Consoleの識別子(エンティティID)(①)
-以下デフォルト値となります。
-
Name ID format:EmailAddress
-
Application username:Okta username
-
Update application username on:Create and update
[Attribute Statements(optional)]
(1行目の値)-
Name:displayname,
-
Value:user.displayName
(2行目の値)
-
Name:mail,
-
Value:user.email
※[Name format]欄も1行目、2行目共に変更不要です。
–Feedback
-
I’m a software vendor. I’d like to integrate my app with Okta:チェックON
-
[Finish]をクリック
-
Verona Cloud Consoleへ戻って頂き、1、2、3を入力後、更新を押します。
※1、2、3の詳細は下記へ記載します。
-
シングルサインオン:[有効]へ変更
-
ログインURL:OktaのIdentity Provider Single Sign-On URL(Embed Link)を入力
-[Embed Link]は、Oktaにて下記の手順で確認可能です。
-「Applications」-「V-Client」-「General」-「App Embed Link」-「EmbedLink」をクリック
-
Issuer識別子:OktaのIdentity Provider Issuer(entityID)を入力
-[entityID]はOktaにて下記の手順で確認可能です。
-「Applications」-「V-Client」-「Sign On」-「SAML Signing Certificates」 -「SHA-2」-「Actions」-「View Idp metadata」をクリック
-XMLが表示されたら、[entityID]として記載されているURL(Identity Provider Issuer)をコピー
-
続いて、証明書ファイルをアップロードします。
-証明書ファイル:OktaのSAML署名証明書ファイルを選択
-「SAML署名証明書ファイル」はOktaにて下記の手順でダウンロード可能です。
-「Applications」-「V-Client」-「Sign On」-「SAML Signing Certificates」 -「SHA-2」-「Actions」-「Download certificate」をクリック
-
[ファイルの選択]からダウンロードした証明書を選択
-
[アップロード]をクリック
以上でシングルサインオンの設定は完了となります。
続いて、ユーザープロビジョニング(Verona CloudとOkta間の同期)設定方法に進んでください。
-
Verona Cloud Console設定
–Verona Cloud Consoleにログイン
–[オーナー]–[オーナー編集]–[ユーザープロビジョニング]を開く
–プロビジョニングを有効に変更
–更新 ボタンをクリック
–SCIM シークレットトークン発行ボタンをクリック
–SCIM シークレットトークンをコピーして保管する
-
最終的な画面となります
※①②は次項目で利用しますのでメモなどに控えてください。
-
Okta設定
–Oktaにログイン
–[Applications]–[V-Client]–[General]をクリック
–[App Settings]–[Edit]をクリック
–Provisioning-Enable SCIM provisioningをチェック
–[Save]をクリック
–[Applications]–[V-Client]–[Provisioning]をクリック
–[Integration]–[SCIM Connection]–[Edit]をクリック
–以下の項目をセットして[save]をクリック
※赤枠部分はVeronaの情報を入力
-
SCIM connector base URL:Verona User ViewのテナントURL※項目4.の①に該当
-
HTTP Header※項目4.の②に該当
以下デフォルト値となります。
-
Unique identifier field for users:userName
-
Supported provisioning actions: Push New Users, Push Profile Updates, Push Groupsにチェック
-
Authentication Mode:HTTP Header
–[Provisioning]-[to App]–[Edit]をクリック
–Create Users, Update User Attributes, Deactivate Usersにチェック
–[Save]をクリック
-
属性マッピング設定
-V-Client Attribute Mappings–[Go to Profile Editor]をクリック
-Attributesの以下の属性以外をすべて削除する
-マッピングが存在すると削除が出来ないので、Mappingsをクリック
-以下の属性以外のマッピングをすべて削除する
▶︎Username
▶︎Primary email
▶︎Primary email type
▶︎Display name
▶︎Primary phone
▶︎Primary phone type
▶Department
Department動作確認
–[Applications]–[V-Client]–[Assignments]をクリック
-
必要なユーザーをAssignしてプロビジョニングされることを確認
※ユーザーは[Directory]–[People]から作成 -
アサインされたユーザーを確認します。
-
しばらくしてVerona Cloudへユーザが同期されます。
-
グループ作成においても同様に行っていきます。
–[Applications]–[V-Client]–[PushGroups]をクリック
–必要なグループをpushしてプロビジョニングされることを確認
※グループは[Directory]–[Groups]から作成
以上でOktaを利用したシングルサインオンの設定は完了です。
なお、Verona Clientでのシングルサインオンに関する設定方法はユーザーズガイドを参照ください。
Oktaユーザは事前に登録されていること
Oktaにログインできること
Verona Cloud Consoleにログインできること
※Oktaの新規ユーザ登録については下記確認ください。
https://help.Okta.com/oie/ja-jp/Content/Topics/users-groups-profiles/usgp-add-users.htm
事前にユーザ作成が完了しましたら、次にお進み下さい。