- 印刷する
- PDF
Okta 連携
- 印刷する
- PDF
Classic/VPC環境で利用できます。
クラウドベースのユーザーアカウント管理およびアクセス権管理ソリューションである Oktaと NAVERクラウドプラットフォームを連携する方法について説明します。Oktaは、高レベルのセキュリティ環境で多数のアプリケーションを1つのアカウントでログインできるソリューションです。組織内で使用している Oktaアカウントで NAVERクラウドプラットフォームコンソールにログインし、与えられた権限内でサービスを利用できます。
NAVERクラウドプラットフォームコンソールで Oktaアカウントを連携する手順は、次の通りです。
1. Okta認証設定
2. Oktaからメタデータをコピー
3. NAVERクラウドプラットフォームに External IdP情報を登録
4. NAVERクラウドプラットフォーム認証設定
5. 連携確認
1. Okta認証設定
Oktaで SAMLアプリケーションを追加し、NAVERクラウドプラットフォームアカウントと連携するユーザーを追加して認証に必要な設定を行うユーザープロビジョニング方法について説明します。
Okta認証設定では、署名せずに認証情報を渡す方式を基準に説明します。署名された証明書で認証情報を渡す方法は、署名を含む認証リクエストをご参照ください。
SAML 2.0アプリケーション作成
Oktaで SAML 2.0アプリケーションを追加する方法は、次の通りです。
このガイドでは、認証時に主に使用されるユーザープロパティ情報である FirstName、LastName、Emailを基準に説明します。
Oktaにログインします。
Applications > Applications メニューを順にクリックし、[Create App Integration] ボタンをクリックします。
Create a new app integrationのポップアップで SAML 2.0を選択し、 [Next] ボタンをクリックします。
App name項目にアプリの名前を入力し、 [Next] ボタンをクリックします。
General 領域の情報を入力します。
- Single sign-on URL: SAML連携情報をコピーでコピーした ACS URL情報
- Audience URI(SP Entity ID): SAML連携情報をコピーでコピーした Issuer URL情報を入力
- Name ID format: EmailAddress を選択
- Application username: Email を選択
General 領域の [Show Advanced Setting] ボタンをクリックします。
Authentication conext classを Password に変更します。
Attribute Statements 領域に Oktaから NAVERクラウドプラットフォームに渡す Attributeを以下のように設定します。
「Name」は、Ncloud Single Sign-Onサービスでユーザー Profile管理の Attribute Mapper設定時に External IdP Parameterに入力する値です。
設定が完了したら [Next] ボタンをクリックします。
I'm a software vendor. I'd like to integrate my app with Okta を選択し、[Finish] ボタンをクリックします。
SAML連携情報をコピー
Ncloud Single Sign-Onサービスと IdPを連携させるには、IdPが送信する SAMLレスポンスを受信するエンドポイントである Assertion Consumer Service(ACS) URL情報と IdPを識別する Issuer URL情報が必要です。
NAVERクラウドプラットフォームの ACS URLと Issuer URLを確認する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。
- Services > Management & Governance > Ncloud Single Sign-On を順にクリックします。
- Tenant メニューの External IdP Metadata 領域に以下の情報をコピーします。
- Assertion Consumer Service (ACS) URL
- Issuer URL
アプリケーションに Userを割り当てる
アプリケーションに Userを割り当てる方法は、次の通りです。
- Okta Developerにアクセスしてログインします。
- 画面左側の Directory > People メニューをクリックします。
- User名をクリックします。
- [Applications] タブで [User Applications] ボタンをクリックします。
- アプリケーション右側の [Assign] ボタンをクリックします。
- [Save and Go Back] ボタンをクリックします。
2. Oktaからメタデータをコピー
Oktaからメタデータをコピーする方法は、次の通りです。
- Okta Developerにアクセスしてログインします。
- 画面左側の Applications > Applications メニューをクリックします。
- アプリケーションをクリックします。
- [Sign On] タブをクリックします。
- Metadata URL 項目の [Copy] ボタンをクリックします。
- ウェブブラウザのアドレスバーに Metadata URLを入力してアクセスします。
- 出力された内容をコピーします。
3. NAVERクラウドプラットフォームに External IdP情報を登録
NAVERクラウドプラットフォームに Oktaのメタデータを登録する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。
- Services > Management & Governance > Ncloud Single Sign-On を順にクリックします。
- Tenant メニューで [External IdP登録] ボタンをクリックします。
- Metadata 項目で Oktaからメタデータをダウンロードからダウンロードしたメタデータ情報を貼り付けた後、[保存] ボタンをクリックします。
- サブ情報は自動的に入力されます。
- [登録] ボタンをクリックします。
4. NAVERクラウドプラットフォーム認証設定
連携する Oktaアカウントを Ncloud Single Sign-Onの Userとして登録し、ユーザープロファイルをマッピングする方法について説明します。
SSO User追加
Oktaで作成した Userの Email情報を活用し、Ncloud Single Sign-Onサービスで SSO Userを作成する必要があります。
Ncloud Single Sign-Onサービスで SSO Userを追加する方法は、次の通りです。
- Services > Management & Governance > Ncloud Single Sign-On メニューを順にクリックします。
- External IdP Login > Users > [User作成] ボタンをクリックします。
- ログイン IDに Oktaで作成したユーザーのメールアドレスを入力し、 [作成] ボタンをクリックします。
Ncloud Single Sign-Onサービスで SSO Userを作成する詳しい方法は、Usersをご参照ください。
NAVERクラウドプラットフォームで Attribute Mapperを設定
Oktaで設定したユーザープロパティ情報を Ncloud Single Sign-Onサービスのユーザープロパティ情報と関連付ける方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。
- Services > Management & Governance > Ncloud Single Sign-On メニューを順にクリックします。
- Tenant メニューをクリックします。
- [Attribute Mapper] ボタンをクリックします。
- Attribute Mapper画面が表示されたら、SAML 2.0アプリケーション作成で登録した内容を External IdP Parameter に入力します。
- Sync Modeでユーザープロファイルの更新方法を設定します。
- None : ユーザープロファイルを更新しない
- Import : 初回ログイン時のみユーザープロファイルを更新
- Force : ログインするたびにユーザープロファイルを更新
- [保存] ボタンをクリックします。
5. 連携確認
Oktaアカウントと NAVERクラウドプラットフォームアカウントが連携しているか確認する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。
- Services > Management & Governance > Ncloud Single Sign-On を順にクリックします。
- Tenant メニューの Login URL をコピーし、その URLにアクセスします。
- SSO Roleのロール切り替え画面が表示されます。
- SSO Roleのロール切り替え画面で [コンソールアクセス] 、[APIアクセス] ボタンをクリックします。
- ログインした SSO Userに設定されたアクセスタイプに応じて [コンソールアクセス] または [API Gatewayアクセス] ボタンが表示されます。
- Services > Management & Governance > Ncloud Single Sign-On メニューを順にクリックします。
- External IdP login > User メニューを順にクリックします。
- ログインした SSO Usersの詳細情報画面で [Profile] タブをクリックし、ユーザープロファイルが更新されているかご確認ください。
署名を含む認証リクエスト
署名を含む認証をリクエストする方法について説明します。SPが IdPに認証情報を署名せずに送ることもできますが、SPの個人キーを活用して IdPに署名を含むリクエストを送ることもできます。IdPは SPが登録した証明書で署名を復号化し、そのリクエストが IdPが希望する SPから送られたものであることを確認します。
1. Service Providerメタデータで証明書ファイルを作成
NAVERクラウドプラットフォームの Service Providerメタデータを活用して証明書ファイルを作成する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。
- Services > Management & Governance > Ncloud Single Sign-On を順にクリックします。
- Tenant メニューの External IdP login 領域で Service Provider Metadata ボタンをクリックします。
<ds:X509Certificate>
の間の情報をコピーします。
- コピーした情報で証明書ファイルを作成します。
- 拡張子は*.pemで作成してください。
- ファイル作成時、メタデータの前には「-----BEGIN CERTIFICATE-----」を入力し、メタデータの後には「-----END CERTIFICATE-----」を入力します。
2. SAML設定
Oktaで SAMLの設定を変更する方法は、次の通りです。
- Okta Developerにアクセスしてログインします。
- 画面左側の Applications > Applications メニューをクリックします。
- アプリケーションをクリックします。
- [General] タブで SAML Settings 領域の [Edit] ボタンをクリックします。
- 最初の画面が表示されたら、何も設定しない状態で [Next] ボタンをクリックします。
- 2番目の画面が表示されたら、 Show Advanced Settings ボタンをクリックします。
- Signature Certificate項目に証明書ファイルをアップロードします。
- Signed Requestsのチェックボックスをクリックし、 [Next] ボタンをクリックします。
- [Finish] ボタンをクリックします。
3. NAVERクラウドプラットフォームで External IdP情報を修正
NAVERクラウドプラットフォームで External IdP情報を修正する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールの Region メニューや Platform メニューから利用中の環境をクリックします。
- Services > Management & Governance > Ncloud Single Sign-On を順にクリックします。
- Tenant メニューで [External IdP修正] ボタンをクリックします。
- AuthnRequest Signed を有効にします。
- Sign Request Algorithm で希望する署名アルゴリズムを選択します。
- 修正が完了したら、 [修正] ボタンをクリックします。
- Tenant メニューから Login URLをコピーします。
- ウェブブラウザのアドレスバーに入力してログインします。