Okta


重要

Enterprise Manager は廃止されました。Security Cloud Control を使用して ID プロバイダーの統合を管理できるようになりました。詳細については、ID プロバイダー統合ガイドを参照してください。

既存の ID プロバイダー統合データはすべて、Security Cloud Control を介して使用できます。

概要

ここでは、Okta SAML アプリケーションを作成し、Security Cloud Sign On と統合する方法について説明します。

はじめに

始める前に

手順

ステップ 1

Okta 管理コンソールにサインインして、次の手順を実行します。

  1. [アプリケーション(Applications)] メニューから [アプリケーション(Applications)] を選択します。

  2. [アプリケーション統合の作成(Create App Integration)] をクリックします。

  3. [SAML 2.0(SAML 2.0)] を選択し、[次へ(Next)] をクリックします。

  4. [全般設定(General Settings)] タブで、統合の名前(例:Security Cloud Sign On)を入力し、必要に応じてロゴをアップロードします。

  5. [次へ(Next)] をクリックします。

  6. [SAMLの設定(Configure SAML)] タブを選択します。

  7. [シングルサインオンURL(Single sign on URL)] フィールドに一時的な値(例:https://example.com/sso)を入力します。これは後で Security Cloud Sign On の実際の ACS URL に置き換えます。

  8. [オーディエンスURI(Audience URI)] フィールドに一時的な値(例:https://example.com/audience)を入力します。これは後で Security Cloud Sign On の実際のオーディエンス ID URI に置き換えます。

  9. [名前IDの形式(Name ID Format)] で [指定なし(Unspecified)] または [EmailAddress(EmailAddress)] を選択します。

  10. [アプリケーションユーザー名(Application username)] で [Oktaユーザー名(Okta username)] を選択します。

  11. [属性ステートメント(オプション)(Attribute Statements (optional))] セクションで、次の属性マッピングを追加します。

    [名前(Name)](SAML アサーション)

    [値(Value)](Okta プロファイル)

    email

    user.email

    firstName

    user.firstName

    lastName

    user.email
    図 1. 属性を追加する例

  12. [次へ(Next)] をクリックします。

  13. Okta にフィードバックを送信し、[完了(Finish)] をクリックします。

  14. ユーザーのグループにアプリケーションを割り当てます。

  15. [サインオン(Sign On)] タブを選択します。

  16. 下にスクロールして、[SAMLセットアップ手順を表示(View SAML Setup Instructions)] をクリックします。

  17. 開いたページで [IDプロバイダーのシングルサインオンURL(Identity Provider Single Sign-On URL)] と [IDプロバイダー発行元(Identity Provider Issuer)] をコピーし、X.509 証明書をダウンロードします。

    次に、エンタープライズ設定ウィザードで Security Cloud Sign Onとの SAML アプリケーションの統合を開始します。

ステップ 2

新しいブラウザタブでエンタープライズ設定ウィザードを開きます。ステップ 3:SAML メタデータの交換 の画面が表示されます。

  1. [IDプロバイダー名(Identity Provider Name)] フィールドに IdP の名前(例:Okta SSO)を入力します。

  2. [シングルサインオンサービスURL(Single Sign On Service URL)] フィールドに、Okta からコピーした [IDプロバイダーのシングルサインオンURL(Identity Provider Single Sign-On URL)] の値を入力します。

  3. [エンティティID(Entity ID)] フィールドに、Okta からコピーした [IDプロバイダー発行元(Identity Provider Issuer)] フィールドの値を入力します。

  4. [ファイルの追加(Add File)] をクリックし、Okta からダウンロードした SAML 署名証明書を選択します。

  5. 必要に応じて、Duo ベースの無料の MFA サービスからユーザーをオプトアウトします。

  6. [次へ(Next)] をクリックして [ダウンロード(Download)] 画面に進みます。

  7. 次の手順で使用するために、[シングルサインオンサービスURL(ACS URL)(Single Sign-On Service URL (ACS URL))] フィールドと [エンティティID(オーディエンスURI)(Entity ID (Audience URI))] フィールドの値をコピーして保存します。

  8. 次の手順で使用するために、SAML 署名証明書(cisco-securex.pem)をダウンロードします。

ステップ 3

Okta の SAML アプリケーション設定に戻ります。

  1. [全般(General)] タブをクリックします。

  2. [SAML設定(SAML Settings)] セクションで [編集(Edit)] をクリックします。

  3. [次へ(Next)] をクリックします。

  4. [シングルサインオンURL(Single sign-on URL)] の値を、エンタープライズ設定ウィザードで提供された [シングルサインオンサービスURL(ACS URL)(Single Sign-On Service URL (ACS URL))] フィールドの値に置き換えます。

  5. [オーディエンスURI(SPエンティティID)(Audience URI (SP Entity ID))] の値を、エンタープライズ設定ウィザードで提供された [エンティティID(オーディエンスURI)(Entity ID (Audience URI))] フィールドの値に置き換えます。

  6. [詳細設定を表示(Show Advanced Settings)] をクリックし、[署名証明書(Signature Certificate)] フィールドを見つけます。

  7. [ファイルの参照(Browse files)] をクリックし、前にダウンロードしたシスコの SAML 署名証明書を見つけます。

  8. [次へ(Next)] をクリックします。

  9. [終了(Finish)] をクリックして変更を保存します。

ステップ 4

エンタープライズ設定ウィザードの [構成(Configure)] 画面に戻ります。

  1. 表示された URL をコピーし、プライベート(シークレット)ブラウザウィンドウで開きます。

    ブラウザが Okta SSO URL にリダイレクトされます。

  2. 申請したドメインと一致する電子メールアドレスで Duo にサインインします。

    SecureX アプリケーションポータルに戻れば、テストは成功です。

  3. 設定ウィザードで [次へ(Next)] をクリックして [アクティブ化(Activate)] 画面に進みます。

  4. ユーザーの統合をアクティブ化するには、[IdPをアクティブ化(Activate my IdP)] をクリックします。

  5. ダイアログで選択内容を確認します。