8.9. SAML: Okta¶
注意
OKTAを利用したSAMLはConnect 9.4以降でサポートしております。ご利用の場合は、Connect 9.4以降へバージョンアップをお願いいたします。
以下の手順は、Okta 開発者アカウントを使用したチュートリアルです。
8.9.1. Okta SAML アプリケーションの設定¶
管理者アカウントを使用して Okta サブスクリプションにログインします。
「Admin」(管理者)ボタンをクリックします
「Applications」(アプリケーション)をクリックします。
「Add Application」(アプリケーションの追加)、「Create New App」(新しいアプリの作成)の順にクリックします。
プラットフォームのタイプとして「Web」を選択します。
「SAML2.0」アプリを選択します。
「Create」(作成)をクリックし、次のフォームにアプリケーション名、ロゴなどを入力します。
次に、SAML の設定を構成します:
- Single sign on URL(シングル・サインオン URL): SAML URL を入力します:
- https://<Ericom Connect のドメイン.com>/ericomxml/accessnowssosamlexternal.aspx
- Audience URL(オーディエンス URL)(外部からアクセス可能である必要があります):
- https://<Ericom Connect のドメイン.com>/ericomxml/accessnowssosamlexternal.aspx
- Default Relay State(デフォルトのリレー状態):
- https://<Ericom Connect のドメイン.com>/ericomxml/accesssso/accessnowsso_saml.htm
- Attribute Statements Name(属性ステートメント名):※オプション(省略可)
- http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
- Name format(名前の形式):
- URI Reference
- Value:
- user.login
アプリケーションの [Preview the SAML Assertion](SAML アサーションのプレビュー)をクリックします。
別のタブが開き、SAML アサーションが XML 構造として表示されます。
後で参照できるようにコピーして保存します。
アプリケーションをユーザ/グループに割り当てる¶
[Assignment](割り当て) タブに移動し、[Assign](割り当て)をクリックし、[Assign to People/Groups](ユーザ/グループに割り当てる) を選択します。
割り当て先のユーザ/グループを選択し、[Assign](割り当て)をクリックします。
個人/グループが存在しない場合は、「Directory/People」(ディレクトリ/人)に移動して追加し、割り当てます。
設定値の取得¶
後で Ericom Connect の設定に使用するために、新しく作成したアプリケーションから必要な値を取得します。
「Sign On」(サイン・オン)タブで、「Identity Provider metadata」(ID プロバイダのメタデータ)リンクを見つけます。
リンクをクリックすると、XML ドキュメントが表示されます。
SAML エンドポイント¶
タグ「md:SingleSignOnService」を見つけて、「Location」(ロケーション)属性の値をコピーします。
この値を使用して、Connect で SAML エンドポイントを設定します。
ダミーの SAML エンドポイントの例は次のとおりです:
https://dev-123456.oktapreview.com/app/ericomdev123456_ericomsso_1/abcdefghijklmno/sso/saml
SAML メタデータ¶
タグ「ds:X509Certificate」を見つけ、このタグの値をコピーします(この値はエンコードされた文字列です。
このエンコードされた文字列を使用して、Connect でSAML メタデータを設定します。
8.9.2. Ericom Connect の設定¶
これらの設定は、Ericom Connect 管理コンソールの「構成 | 設定 | セカンダリ/テナント設定」で構成されます。
| フィールド | 値/例 |
|---|---|
| Allow Authentication With SAML | True |
| SAML Endpoint | <サンプル> https://dev-123456.oktapreview.com/app/ericomdev123456_ericomsso_1/exsdfasdfQW7S580h8/sso/saml ※前述のタグ「md: SingleSignOnService」の「Location」の値をここへコピーします。 |
| SAML Metadata | <サンプル> MIIDpDCCAoygAwIB… ※前述のタグ「ds: X509Certificate」の値をここペコピーします。※スペースはすべて削除してコピーしてください。 |
| SAML Decrypt certificate ※オプション(必要に応じて設定します。) | <サンプル> KJHASKDJFJKLJBkjhlkjhk.LAKSMVOAKWEVAOKEVMAOEWV… |
| SAML Username claim ※オプション(必要に応じて設定します。) | [オプション]Okta では、属性ステートメントがどのように構成されたかによって異なります。名前が標準でない場合は、その値をここにコピーします。例:http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
| Sso Smart Card Creation User | <サンプル> sso-admin@test.com |
| Sso Smart Card Creation Password | <パスワードを入力> |
| Enrollment Agent Certificate Template | EricomEnrollmentAgent |
| Smartcard Logon Certificate Template | EricomSmartcardLogon |
8.9.3. 暗号化された SAML アサーション: Okta¶
Ericom Connect は、より高いレベルのセキュリティのために暗号化された SAML アサーションをサポートしています。この章では、Okta を使用して、暗号化された SAML アサーションを有効にして設定する方法を説明します。暗号化された SAML アサーションを有効にする前に、SSO 機能が暗号化なしで正しく機能していることを確認してください。
まず、Okta にログインし、SSO 用に作成された Ericom アプリケーションを編集します。「SAML Settings」(SAML設定)の「Edit」(編集)ボタンをクリックします。
表示された画面のNextをクリックします。
次に、[Show Advanced Settings](詳細設定を表示)をクリックします。
「Assertion Encryption」(アサーション暗号化)、「Encryption Algorithm」(暗号化アルゴリズム)、「Key Transport Algorithm」(キー転送アルゴリズム)、および「Encryption Certificate」(暗号化証明書)を設定します。選択した設定が組織のセキュリティ・ポリシーに準拠していることを確認します。
「Encryption Certificate」を設定するときは、対応する秘密鍵を持っている公開証明書を選択してください。
最後に、Ericom Connect 管理コンソールに移動し、「構成 | 設定 | セカンダリ/テナント設定」に移動します。
「SAML 復号証明書」フィールドに、Base64 エンコーディングの秘密鍵を入力します。秘密鍵がパスワードで保護されていないことを確認してください。
暗号化を構成するために技術支援が必要な場合、Ericom からプロフェッショナル・サービスを受けることができます。