Okta を使用してシングルサインオンを設定する
最小限の設定作業で、このコネクターはエンタープライズシングルサインオン (SSO) のために Okta と統合することができます。
SSO についての詳細や Logto での SSO の設定方法については、エンタープライズシングルサインオン (SSO) (SAML & OIDC) ドキュメントを参照して始めてください。
ステップ 1: Okta 管理ポータルで OIDC アプリケーションを作成する
- Okta 管理ポータルにアクセスし、管理者としてサインインします。
- サイドメニューを使用して
Applications
/Applications
ページに移動します。 Create App Integration
ボタンをクリックして新しい OIDC アプリケーションを作成します。Sign-in method
としてOIDC - OpenID Connect
オプションを選択します。Application type
としてWeb Application
オプションを選択します。
Next
ボタンをクリックして続行します。
ステップ 2: アプリケーション設定を構成する
App integration name
を入力します。これは OIDC アプリケーションの識別子として使用されます。- Logto SSO コネクターのコールバック URL を使用して、新しい
Sign-in redirect URIs
を追加します。
これは、Okta が認証 (Authentication) に成功した後にユーザーのブラウザをリダイレクトする URI です。ユーザーが IdP での認証 (Authentication) に成功すると、IdP はユーザーのブラウザをこの指定された URI に認可 (Authorization) コードと共にリダイレクトします。Logto はこの URI から受け取った認可 (Authorization) コードに基づいて認証 (Authentication) プロセスを完了します。
- アプリケーションにユーザーを割り当てます。
Assignments
設定に基づいて、アプリケーションをすべてのユーザーまたは特定のユーザー/グループに割り当てることができます。
Save
ボタンをクリックしてアプリケーション設定を保存します。
ステップ 3: クライアント資格情報で Logto コネクターを設定する
OIDC アプリケーションを正常に作成した後、アプリケーションの詳細ページにリダイレクトされます。
client ID
と client secret
をコピーし、Logto SSO コネクターの Connection
タブの対応するフィールドに入力します。
Okta ドメインを issuer
として使用します。例:https://dev-12345678.okta.com
。すべてのフィールドに入力したら、Save
ボタンをクリックしてコネクター設定を保存します。
提供した issuer
リンクが有効であれば、issuer
フィールドの下に Okta IdP 設定の解析された完全なリストが表示されます。
ステップ 4: 追加のスコープ (オプション)
Scope
フィールドを使用して、OAuth リクエストに追加のスコープを追加します。これにより、Okta OAuth サーバーからより多くの情報を要求できます。利用可能なスコープの詳細については、Okta ドキュメント を参照してください。
カスタムスコープ設定に関係なく、Logto は常に openid
、profile
、および email
スコープを IdP に送信します。これは、Logto がユーザーのアイデンティティ情報とメールアドレスを適切に取得できるようにするためです。
ステップ 5: メールドメインを設定し、SSO コネクターを有効にする
Logto のコネクター SSO experience
タブに組織の email domains
を提供します。これにより、SSO コネクターがこれらのユーザーの認証 (Authentication) 方法として有効になります。
指定されたドメインのメールアドレスを持つユーザーは、唯一の認証 (Authentication) 方法として SSO コネクターを使用するようにリダイレクトされます。
Okta との OIDC 統合の作成に関する詳細については、Create OIDC App Integrations を確認してください。