Okta の連携

Prev Next

Classic/VPC環境で利用できます。

クラウドベースのユーザーアカウント管理およびアクセス権管理ソリューションである Oktaと NAVERクラウドプラットフォームを連携する方法について説明します。Oktaは、高レベルのセキュリティ環境で多数のアプリケーションを1つのアカウントでログインできるソリューションです。組織内で使用している Oktaアカウントで NAVERクラウドプラットフォームコンソールにログインし、与えられた権限内でサービスを利用できます。

NAVERクラウドプラットフォームコンソールで Oktaアカウントを連携する手順は、次の通りです。

1.Okta認証設定
2.Oktaメタデータをコピー
3.NAVERクラウドプラットフォームで External IdP情報を登録
4.NAVERクラウドプラットフォーム認証設定
5.連携確認

1.Okta認証設定

Oktaで SAMLアプリケーションを追加し、NAVERクラウドプラットフォームアカウントと連携するユーザーを追加して認証に必要な設定を行うユーザープロビジョニング方法について説明します。

参照

Okta認証設定では、署名せずに認証情報を渡す方式を基準に説明します。署名された証明書で認証情報を渡す方法は、署名を含む認証リクエストをご参照ください。

SAML 2.0アプリケーション作成

Oktaで SAML 2.0アプリケーションを追加する方法は、次の通りです。

参考

このガイドでは、認証時に主に使用されるユーザープロパティ情報である FirstName、LastName、Emailを基準に説明します。

  1. Oktaにログインします。
  2. Applications > Applicationsメニューを順にクリックし、 [Create App Integration] ボタンをクリックします。
  3. Create a new app integrationのポップアップで SAML 2.0を選択し、 [Next] ボタンをクリックします。
  4. App name項目にアプリの名前を入力し、 [Next] ボタンをクリックします。
  5. General領域の情報を入力します。
  6. General領域の [Show Advanced Setting] ボタンをクリックします。
  7. Authentication conext classを Passwordに変更します。
  8. Attribute Statements領域に Oktaから NAVERクラウドプラットフォームに渡す Attributeを以下のように設定します。
    sso-okta.png.png
    参考

    「Name」は、Ncloud Single Sign-Onサービスでユーザー Profile管理の Attribute Mapper設定時に External IdP Parameterに入力する値です。

  9. 設定が完了したら [Next] ボタンをクリックします。
  10. I'm a software vendor.I'd like to integrate my app with Oktaを選択し、 [Finish] ボタンをクリックします。

SAML連携情報をコピー

Ncloud Single Sign-Onサービスと IdPを連携させるには、IdPが送信する SAMLレスポンスを受信するエンドポイントである Assertion Consumer Service(ACS) URL情報と IdPを識別する Issuer URL情報が必要です。

NAVERクラウドプラットフォームの ACS URLと Issuer URLを確認する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、 i_menu > Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
  2. Tenantメニューの External ****IdP Metadata領域で以下の情報をコピーします。
    • Assertion Consumer Service (ACS) URL
    • Issuer URL

アプリケーションに Userを割り当てる

アプリケーションに Userを割り当てる方法は、次の通りです。

  1. Okta Developerにアクセスしてログインします。
  2. 画面左側の Directory > Peopleメニューをクリックします。
  3. User名をクリックします。
  4. [Applications] タブで [User Applications] ボタンをクリックします。
  5. アプリケーション右側の [Assign] ボタンをクリックします。
  6. [Save and Go Back] ボタンをクリックします。

2.Oktaメタデータをコピー

Oktaからメタデータをコピーする方法は、次の通りです。

  1. Okta Developerにアクセスしてログインします。
  2. 画面左側の Applications > Applicationsメニューをクリックします。
  3. アプリケーションをクリックします。
  4. [Sign On] タブをクリックします。
  5. Metadata URL項目の [Copy] ボタンをクリックします。
  6. ウェブブラウザのアドレスバーに Metadata URLを入力してアクセスします。
  7. 出力された内容をコピーします。

3.NAVERクラウドプラットフォームで External IdP情報を登録

NAVERクラウドプラットフォームに Oktaのメタデータを登録する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、 i_menu > Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
  2. Tenantメニューで [External IdP登録] ボタンをクリックします。
  3. Metadata項目で Oktaからメタデータをダウンロードからダウンロードしたメタデータ情報を貼り付けた後、 [保存] ボタンをクリックします。
    • サブ情報は自動的に入力されます。
  4. [登録] ボタンをクリックします。

4.NAVERクラウドプラットフォーム認証設定

連携する Oktaアカウントを Ncloud Single Sign-Onの Userとして登録し、ユーザープロファイルをマッピングする方法について説明します。

SSO User追加

Oktaで作成した Userの Email情報を活用し、Ncloud Single Sign-Onサービスで SSO Userを作成する必要があります。
Ncloud Single Sign-Onサービスで SSO Userを追加する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、 i_menu > Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
  2. External IdP Login > Users > [User作成] ボタンをクリックします。
  3. ログイン IDに Oktaで作成したユーザーのメールアドレスを入力し、 [作成] ボタンをクリックします。 
参考

Ncloud Single Sign-Onサービスで SSO Userを作成する詳しい方法は、Usersをご参照ください。

NAVERクラウドプラットフォームで Attribute Mapperを設定

Oktaで設定したユーザープロパティ情報を Ncloud Single Sign-Onサービスのユーザープロパティ情報と関連付ける方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、 i_menu > Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
  2. Tenantメニューをクリックします。
  3. [Attribute Mapper] ボタンをクリックします。
  4. Attribute Mapper画面が表示されたら、SAML 2.0アプリケーション作成で登録した内容を External IdP Parameterに入力します。
  5. Sync Modeでユーザープロファイルの更新方法を設定します。
    • None: ユーザープロファイルを更新しない
    • Import: 初回ログイン時のみユーザープロファイルを更新
    • Force: ログインするたびにユーザープロファイルを更新
  6. [保存] ボタンをクリックします。

5.連携確認

Oktaアカウントと NAVERクラウドプラットフォームアカウントが連携しているか確認する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、 i_menu > Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
  2. Tenantメニューの Login URLをコピーし、その URLにアクセスします。
    • SSO Roleのロール切り替え画面が表示されます。
  3. SSO Roleのロール切り替え画面で [コンソールアクセス][APIアクセス] ボタンをクリックします。
    • ログインした SSO Userに設定されたアクセスタイプに応じて [コンソールアクセス] または [API Gatewayアクセス] ボタンが表示されます。
  4. Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
  5. External IdP login > Userメニューを順にクリックします。
  6. ログインした SSO Usersの詳細情報画面で [Profile] タブをクリックし、ユーザープロファイルが更新されているかご確認ください。

署名を含む認証リクエスト

署名を含む認証をリクエストする方法について説明します。SPが IdPに認証情報を署名せずに送ることもできますが、SPのプライベートキーを活用して IdPに署名を含むリクエストを送ることもできます。IdPは SPが登録した証明書で署名を復号化し、そのリクエストが Idpが希望する SPから送られたものであることを確認します。

1.Service Providerメタデータで証明書ファイルを作成

NAVERクラウドプラットフォームの Service Providerメタデータを活用して証明書ファイルを作成する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、 i_menu > Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
  2. Tenantメニューの External IdP login領域で Service Provider Metadataボタンをクリックします。
  3. <ds:X509Certificate>の間の情報をコピーします。
    sso-okta_spmetadata_ko.png
  4. コピーした情報で証明書ファイルを作成します。
    • 拡張子は*.pemで作成してください。
    • ファイル作成時、メタデータの前には「-----BEGIN CERTIFICATE-----」を入力し、メタデータの後には「-----END CERTIFICATE-----」を入力します。

2.SAML設定

Oktaで SAMLの設定を変更する方法は、次の通りです。

  1. Okta Developerにアクセスしてログインします。
  2. 画面左側の Applications > Applicationsメニューをクリックします。
  3. アプリケーションをクリックします。
  4. [General] タブで SAML Settings領域の [Edit] ボタンをクリックします。
  5. 最初の画面が表示されたら、何も設定しない状態で [Next] ボタンをクリックします。
  6. 2番目の画面が表示されたら、Show Advanced Settingsボタンをクリックします。
  7. Signature Certificate項目に証明書ファイルをアップロードします。
  8. Signed Requestsのチェックボックスをクリックし、 [Next] ボタンをクリックします。
  9. [Finish] ボタンをクリックします。

3.NAVERクラウドプラットフォームで External IdP情報を変更

NAVERクラウドプラットフォームで External IdP情報を変更する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールで、 i_menu > Services > Management & Governance > Ncloud Single Sign-Onメニューを順にクリックします。
  2. Tenantメニューで [External IdP変更] ボタンをクリックします。
  3. AuthnRequest Signedを有効にします。
  4. Sign Request Algorithmで希望する署名アルゴリズムを選択します。
  5. 変更が完了したら、 [変更] ボタンをクリックします。
  6. Tenantメニューから Login URLをコピーします。
  7. ウェブブラウザのアドレスバーに入力してログインします。