Okta IdP

はじめに

シングルサインオン (SSO)は、ユーザーが一度サインインするだけで、再認証なしに複数のアプリケーションやサービスにアクセスできる技術です。

SSOは常に、アイデンティティプロバイダーとサービスプロバイダー（「IdP」と「SP」とも呼ばれます）の2つのアプリケーションの共同動作によって保証されます。ONLYOFFICE SSOはSPのみを実装します。多くの異なるプロバイダーがIdPとして機能できますが、この記事ではOktaの実装を考慮します。

OktaでIdPを作成する

1. Oktaにサインアップします。
2. Applications -> Applicationsメニューに移動します。
   
3. Create App Integrationボタンをクリックします：
   
4. SAML 2.0オプションを選択し、Nextボタンをクリックします。
   
5. App nameフィールドに、例えば"IDP Okta DocSpace"のように、このアプリケーションを他と区別する名前を入力し、Nextボタンをクリックします。
   
6. 以下の表に従ってフィールドに入力します：
   あなたの独自のドメイン名またはパブリックIPを、myportal-address.comの代わりに指定してください。

   アプリケーションの詳細
   シングルサインオンURL	https://myportal-address.com/sso/acs
   オーディエンスURI（SPエンティティID）	https://myportal-address.com/sso/
   デフォルトリレーステート	https://myportal-address.com
   名前IDフォーマット	EmailAddress
   アプリケーションユーザー名	Email
   アプリケーションユーザー名の更新	Create and Update
   レスポンス	Signed
   アサーション署名	Signed
   署名アルゴリズム	RSA-SHA256
   ダイジェストアルゴリズム	SHA256
   アサーション暗号化	Encrypted
   暗号化アルゴリズム	AES128-CBC
   キー輸送アルゴリズム	RSA-OAEP
   認証コンテキストクラス	X.509 Certificate

   
   
   
7. Attribute StatementsフォームでAdd Anotherをクリックし、3つのパラメーター（givenName、sn、mail）を作成し、LDAPディレクトリのフィールドカタログから発行するのに適したValueリストから値を指定します。
   
8. 管理者としてONLYOFFICEポータルにサインインし、Settings -> Integration -> Single Sign-Onページを開きます。
9. Enable Single Sign-on Authenticationスイッチを使用してSSOを有効にします。
10. 次に、SP Certificatesセクションで証明書を作成する必要があります。それを行うには、Add certificateをクリックします。 ボタンを対応するセクションでクリックします。
    
11. 開いたモーダルウィンドウで、新しい自己署名証明書を生成リンクをクリックし、使用目的リストで署名と暗号化オプションを選択します。証明書を保存する前に、公開証明書のテキストをクリップボードにコピーします（Oktaで必要になります）。その後、OKボタンをクリックします。
    
12. 任意のエディターを開き、コピーしたテキストを貼り付け、.pem拡張子でファイルを保存します。
    
13. Oktaアプリケーション作成フォームに戻ります。暗号化証明書フィールドで、新しく作成した公開キーを選択します。
    
14. フォームの最後で次へボタンをクリックします。
    
15. 完了ボタンをクリックします。
    
16. 開いたアプリケーションの説明で、メタデータURLフィールドからリンクをコピーします。
    
17. ONLYOFFICEポータルのシングルサインオンページに戻ります。コピーしたリンクをメタデータXMLのアップロードフィールドに貼り付けます。
    

    ログインボタンのキャプションを指定します。

    
18. 保存ボタンをクリックします。
19. ONLYOFFICE SPメタデータセクションが開き、SPメタデータXMLをダウンロードボタンが表示されます。
    
20. ログアウトを設定するには、Oktaの設定に戻ります。署名証明書フィールドに、例えばステップ12から証明書を指定します。以下の例に従って、シングルログアウトURLとSP発行者フィールドを記入します。
    
21. Oktaでユーザーを作成し、ONLYOFFICE SPへのアクセスを提供するには、以下の手順を実行します：
    1. Oktaのディレクトリ -> 人々サブメニューに移動します。
       
    2. 人を追加ボタンをクリックします。
       
    3. フォームに記入し、保存をクリックします。
       
    4. Applications -> Applications メニューに移動し、作成したアプリケーションをクリックします。
       
    5. Assign -> Assign to People をクリックします。開いたウィンドウで必要なユーザーを選択し、Assign をクリックします。Done をクリックしてウィンドウを閉じます。
       

ONLYOFFICE SPとOkta IdPの動作確認

SP側でのONLYOFFICEへのログイン

1. ONLYOFFICEの認証ページにアクセスします（例：https://myportal-address.com/Auth.aspx）。
2. シングルサインオン ボタンをクリックします。ボタンが表示されない場合、SSOが有効になっていません。
   
3. SPとIdPのパラメータが正しく設定されている場合、Okta IdPのログインフォームにリダイレクトされます：
   
4. ONLYOFFICE SPへのアクセス権を持つユーザーのログインとパスワードを入力し、LOG IN ボタンをクリックします。
5. 資格情報が正しければ、ポータルのメインページにリダイレクトされます（ユーザーが存在しない場合は自動的に作成され、IDPで変更された場合はデータが更新されます）。