この記事では、SAMLアプリケーションの構成方法について簡単に説明します。

• カスタムSAML 2.0
• 認証
• Secure Assertion Markup Language（SAML）
• シングルサインオン（SSO）

• カスタムSAML 2.0
• 認証

注：Oktaでは、サービスプロバイダー（SP）アプリケーションのメタデータの直接インポートはサポートされていません。ただし、メタデータの関連フィールドを使用して、OktaでカスタムSAMLアプリを構成できます。
 

SPアプリケーションのメタデータを使ってOkta内でカスタムのSAML 2.0アプリケーションを作成するには、以下のビデオまたはステップに従います。

1. Okta管理者ダッシュボード >［アプリケーション］>［アプリケーション］に移動します。

2. ［アプリ統合を作成］>［SAML 2.0］を選択します。

3. ［一般設定］タブで［アプリ名］の値を入力し、［次へ］をクリックします。

4. カスタムアプリ内でSAML設定を構成する前に、サービスプロバイダーのメタデータファイル（通常は.xmlファイル）を参照する準備ができている必要があります。
   たとえば、SAML .xmlメタデータファイルには次の内容が含まれます：

   <?xml version="1.0" encoding="UTF-8"?> <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://mymachine.mycompany.com:8830">    <md:SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">       <md:KeyDescriptor use="signing">          <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">             <ds:X509Data>                <ds:X509Certificate>MIIC0TCCAbkCAQAwXDELMAkGA1UEBhMCSU4xCzAJBCgKCAQEAmEwfAFLjgDO                    BgNVBAoTCXJicHJpdmF0ZTELMAkGA1UECxMCUUExETAPBgNVBAMTCHJhamt1bWFyMIIBIjANBgkq                    hkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAmEwfAFLjgDOEZk1AYPhX7dbYMXqkk4rF3uyYZeoMnnXP                    Ls463GzGvVPnRgjTdIzm+1QOnkTx3BBu7kxlhtze2Sr7rtHLs1FYbzXREs5aVgIPnpkfuKdR9QND                    aJJ1byxStnF+zI4feSYmHXsVWfHm24+FK0kCk3tSnw2/noXyW5xc2UbrGLYqaezpPSlf5WJ3isKF                    lQr2k+HKXh4Rid4TUmEaoZXPAcB7QtkBYnIxzzmBoFCWSSsVldPRkaw=</ds:X509Certificate>             </ds:X509Data>          </ds:KeyInfo>       </md:KeyDescriptor>       <md:NameIDFormat> urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>       <md: AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://mymachine.mycompany.com:8830/router/login/loginSaml" index="0" isDefault="true" />    </md:SPSSODescriptor> </md:EntityDescriptor> 

5. メタデータファイルからのこれらのタグの次の値に注意してください。

• AssertionConsumerService（ACS）
• NameIDFormat
• entityID
• relayState（オプション）

6. カスタムアプリケーションでのSAMLの構成に戻り、サービスプロバイダーのmetadata.xmlファイルに記載されている値からシングルサインオンURL（ACS）、オーディエンスURI（SPエンティティID）、デフォルトのRelayState（オプション）、および名前IDのフォーマットを構成し、［次へ］を選択します。

   a.  シングルサインオンURL：［シングルサインオンURL］の値は、AssertionConsumerServiceタグの間の値です。サンプルのメタデータファイルの場合、値はhttp://mymachine.mycompany.com:8830/router/login/loginSamlです。
   1. AssertionConsumerService Locationに複数の値が見つかった場合は、［受信者のURLおよび移動先URLに使用］チェックボックスをオフにすることで設定できます。

2. オーディエンスURI（SPエンティティID）：［オーディエンスURI（SPエンティティID）］の値は、メタデータファイルのentityID値です。サンプルのメタデータファイルの場合、値はhttp://mymachine.mycompany.com:8830です。
3. デフォルトのRelayState：これは省略可能な値で、不要な場合はスキップできます。
4. 名前IDのフォーマット：この例の［名前IDのフォーマット］のデフォルト値は［指定なし］です。サンプルのメタデータファイルの場合、値は［urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified］です。この例の値は、Oktaの［指定なし］デフォルト値に対応しています。メタデータファイル内のNameIDFormatタグはSPごとに異なり、含まれている名前IDのフォーマットも異なる場合があります。どのタグがOkta Organizationで構成されているメタデータと一致するかを確認してください。 

7. ［社内アプリを追加しているOktaユーザーです］または［これは当社で作成した社内アプリです］を選択し、［完了］ボタンを選択します。
8. OktaでカスタムSAMLアプリケーションを構成したら、［サインオン］タブを選択し、Webページの右側にある［SAMLの設定手順を表示］を選択します。これらの手順には、OktaアプリケーションのIDプロバイダーシングルサインオンURL、OktaアプリケーションのIDプロバイダー発行者（エンティティID）、OktaアプリケーションIDプロバイダーのX.509証明書が含まれます。この情報は、SP管理者がアプリケーション内で構成する際に必要になります。
9. IdPメタデータをSPアプリで正しく設定したら、Oktaでアプリケーションをテストユーザーに割り当て、SAMLログインフローをテストします。詳細については、「関連資料」セクションを確認してください。

注：これは、Okta内でSAMLアプリケーションを作成する方法に関する非常に簡単な手順です。サービスプロバイダーは、SSOを機能させるために、カスタム属性や追加設定などの追加情報を要求する場合があります。

関連資料

• SAML-tracerに関する問題のトラブルシューティング
• 初心者向けSAMLガイド
• カスタムSAMLアプリの構成方法
• カスタムSAML属性ステートメントを定義および設定する方法