メインコンテンツへスキップ
Okta Workforce Enterprise 接続は、公式にサポートされている導入しやすい統合であり、Auth0 で Okta を (IdP) として実装するための推奨される方法です。 この統合により、お客様は Okta を使用して従業員のアプリケーションへのアクセスを管理できます。 さらに、顧客 ID 管理に Auth0 を使用し、社内の従業員 ID 管理に Okta を使用している場合、この統合はそれぞれの ID 管理領域を運用するうえで効果的です。 Okta Workforce Enterprise 接続がユースケースをサポートしていない場合は、要件に応じて Okta を SAML IdP として構成する か、カスタム認可サーバーを構成する ことができます。

Okta OIDC アプリ統合を作成する

Okta OIDC アプリ統合の作成方法については、Okta Help Center の「Create OIDC app integrations」を参照してください。 Okta OIDC アプリ統合を設定する際は、次の設定を使用してください。
  1. Sign-in method として OIDC を選択します。
  2. Application type として Web application を選択し、次のパラメーターを設定します。
FieldDescription
名前アプリケーションの名前です。
Sign-in Redirect URIshttps://{YOUR_AUTH0_TENANT}.{YOUR_TENANT_REGION}.auth0.com/login/callback
Trusted Originshttps://{yourDomain}

リダイレクト用の Auth0 ドメイン名を確認する

上記の Auth0 ドメイン名が表示されておらず、custom domains 機能を使用していない場合、ドメイン名はテナント名、リージョンのサブドメイン、auth0.com をドット (.) で連結したものになります。たとえば、テナント名が exampleco-enterprises で、テナントが US リージョンにある場合、Auth0 ドメイン名は exampleco-enterprises.us.auth0.com となり、Redirect URIhttps://exampleco-enterprises.us.auth0.com/login/callback になります。ただし、テナントが US リージョンにあり、2020 年 6 月より前に作成されている場合、Auth0 ドメイン名は exampleco-enterprises.auth0.com となり、Redirect URIhttps://exampleco-enterprises.auth0.com/login/callback になります。custom domains を使用している場合、Redirect URIhttps://<YOUR CUSTOM DOMAIN>/login/callback になります。
  1. Okta がアプリ統合用に生成した クライアントIDクライアントシークレット を記録します。

Okta アプリ統合にテストユーザーを追加する

アプリ統合をテストするため、Okta Directory にテストユーザーを作成します。
  1. Okta Admin Dashboard で、Directory > People に移動します。
  2. Add Person を選択します。
  3. パスワードを含むテストユーザーの詳細を入力します。
  4. テストユーザーを保存します。
  5. Directory で、新しいユーザーを選択します。
  6. ユーザーの Applications タブに移動し、Assign Applications を選択します。
  7. 先ほど作成したアプリケーションを選択します。

Auth0 で Okta Workforce Enterprise 接続を作成する

Okta OIDC アプリ統合の を利用できるようにしておきます。
  1. Auth0 Dashboard > Authentication > Enterprise に移動し、Okta Workforce を見つけて + ボタンを選択します。
    Dashboard - Connections - Enterprise
  2. 接続の詳細を入力し、Create: を選択します。
FieldDescription
Connection name接続の論理識別子です。テナント内で一意である必要があります。設定後、この名前は変更できません。
Okta ドメイン組織の Okta ドメイン名です。
Client ID登録済みの Okta アプリケーションの一意の識別子です。Okta 管理コンソールで先ほど登録したアプリの クライアントID として保存した値を入力します。
Client Secret登録済みの Okta アプリケーションへのアクセスに使用する文字列です。Okta 管理コンソールで先ほど登録したアプリの クライアントシークレット として保存した値を入力します。
  1. Provisioning ビューで、Auth0 でのユーザープロファイルの作成および更新方法を設定します。
FieldDescription
Sync user profile attributes at each login有効にすると、Auth0 はユーザーがログインするたびにユーザープロファイルデータを自動的に同期し、接続元で加えられた変更を Auth0 に自動反映します。
Sync user profiles using SCIM有効にすると、Auth0 で SCIM を使用したユーザープロファイルデータの同期が可能になります。詳細については、Configure Inbound SCIM を参照してください。
  1. Login Experience ビューに切り替え、この接続でのユーザーのログイン方法を設定します。
FieldDescription
Home Realm Discoveryユーザーのメールアドレスのドメインを、指定した IDプロバイダーのドメインと比較します。詳細については、Configure Identifier First Authentication を参照してください。
Display connection buttonこのオプションでは、アプリケーションの接続ボタンをカスタマイズするための以下の設定項目が表示されます。
Button display name (Optional)Universal Login のログインボタンをカスタマイズするためのテキストです。設定すると、ボタンには「{Button display name} で続行」と表示されます。
Button logo URL (Optional)Universal Login のログインボタンをカスタマイズするために使用する画像の URL です。設定すると、Universal Login のログインボタンに 20px x 20px の正方形の画像が表示されます。
オプションのフィールドは Universal Login でのみ使用できます。Classic Login を使用している場合、Add ボタン、Button display name、Button logo URL は表示されません。

Auth0アプリケーションで接続を有効にする

新しいOkta Workforce Enterprise接続を使用するには、Auth0アプリケーションで接続を有効にする必要があります。

接続をテストする

これで、接続をテストする準備ができました。

グローバルトークン失効を設定する

この接続タイプは Global Token Revocation エンドポイントをサポートしており、これにより、準拠した IDプロバイダー は Auth0 のユーザーセッションを失効させたり、を失効させたり、セキュアなバックチャネルを使用するアプリケーションに対してバックチャネルログアウトをトリガーしたりできます。 この機能は Okta の Universal Logout と併用できます。 詳細および設定手順については、Universal Logout を参照してください。

詳細情報