メインコンテンツまでスキップ

Okta での SAML SSO を設定する

このガイドでは、Okta を SAML Identity Provider (IdP) として、VeloDB Cloud を Service Provider (SP) として設定し、1つの VeloDB Cloud 組織に対して構成します。

前提条件

開始する前に、以下を確認してください:

  • VeloDB Cloud 組織が Premium プランを使用していること
  • VeloDB Cloud で Organization Admin であること
  • Okta でアプリケーションを作成および割り当てできること
  • 企業メールドメインの DNS TXT レコードを作成できること
  • VeloDB Cloud アプリケーションに割り当てる Okta ユーザーまたはグループがあること
  • Okta で必要な MFA およびサインオンポリシーが設定されていること

SSO を設定およびテストする間は、アクティブな Organization Admin セッションを開いたままにしておいてください。

VeloDB Cloud で SAML セットアップを開始する

  1. Organization Admin として VeloDB Cloud にサインインします。

  2. コンソールの左下隅にあるプロフィール領域をクリックしてアカウントメニューを開き、Authentication を選択します。

  3. SAML Single Sign-on をオンにします。

  4. Add Application で、以下の値をコピーします:

    • Single Sign-On URL
    • Service Provider Entity ID

Okta を設定している間は、このページを開いたままにしておいてください。

Okta アプリケーションを作成する

  1. Okta Admin Console にサインインします。

  2. Applications → Applications に移動します。

  3. Create App Integration を選択します。

  4. SAML 2.0 を選択し、Next を選択します。

  5. VeloDB Cloud などのアプリケーション名を入力し、Next を選択します。

  6. SAML 設定を構成します:

    Okta fieldValue
    Single sign-on URLVeloDB Cloud の Single Sign-On URL
    Audience URI (SP Entity ID)VeloDB Cloud の Service Provider Entity ID
    Default RelayState空白のままにする
    Name ID formatEmailAddress
    Application usernameEmail
  7. Okta が Use this for Recipient URL and Destination URL を表示する場合は、有効にします。

  8. 以下の attribute statement を追加します:

    NameName formatValue
    emailBasicuser.email
  9. Next を選択し、Okta フィードバックフォームを完了して、Finish を選択します。

  10. Assignments タブで、VeloDB Cloud にアクセスできるユーザーまたはグループを割り当てます。

詳細については、Okta ドキュメントの Create SAML app integrations を参照してください。

Okta メタデータをインポートする

  1. Okta アプリケーションで、Sign On タブを開きます。
  2. アクティブな SAML 署名証明書を見つけて、Identity Provider メタデータ URL をコピーします。Okta インターフェースによっては、この操作は Copy metadata URL または View IdP metadata とラベル付けされている場合があります。
  3. VeloDB Cloud に戻り、Configure Identity Provider に進みます。
  4. Metadata URL に Okta メタデータ URL を貼り付けます。
  5. Verify を選択します。
  6. VeloDB Cloud がインポートされた IdP SSO URL と証明書を表示することを確認します。

メタデータ URL は HTTPS で公開アクセス可能である必要があります。

ドメインを確認してプロビジョニングを設定する

  1. Verify Domain に進みます。
  2. Add Domain を選択し、@ を除いた企業メールドメインを入力します。
  3. DNS プロバイダーで、VeloDB Cloud が表示する TXT Record NameRecord Value を使用して TXT レコードを作成します。
  4. DNS 変更が伝播するまで待ち、ドメインの Verify を選択します。
  5. JIT プロビジョニングを通じて作成されるユーザーに割り当てる Default Role を選択します。
  6. JIT Provisioning Policy を選択します。
  7. Continue を選択します。

プロビジョニングポリシーの詳細については、JIT provisioning を参照してください。

SSO をテストして有効にする

  1. Test SSO Login で、Test SSO Login を選択します。
  2. アプリケーションに割り当てられた Okta アカウントで認証します。
  3. VeloDB Cloud が SSO Test Successful を報告することを確認します。
  4. Enable SSO に進み、Enable SSO を選択してセットアップを完了します。

SSO を強制する

SSO を強制する前に、アクティブな Organization Admin が通常の SAML サインインを完了する必要があります:

  1. VeloDB Cloud からサインアウトします。
  2. Organization Admin のメールアドレスを使用して https://www.velodb.cloud で新しいサインインを開始します。
  3. Okta を通じて認証し、管理者が組織にアクセスできることを確認します。
  4. Authentication に戻り、SAML SSO 設定を開きます。
  5. Enable SSO の横にある Configure を選択し、Enforce SSO を選択して変更を確認します。

サインインの開始に Okta アプリケーションタイルは使用しないでください。VeloDB Cloud は Service Provider 開始のサインインのみをサポートしています。

SSO が有効になっているが強制されていない場合、email sign-in page はパスワードまたは認証コードサインインで引き続き使用できます。

ユーザーの Okta 割り当てを削除しても、既存の VeloDB Cloud 組織メンバーシップは削除されません。メンバーをオフボードする際は、VeloDB Cloud の Members ページで別途メンバーを削除してください。