Okta での SAML SSO を設定する
このガイドでは、Okta を SAML Identity Provider (IdP) として、VeloDB Cloud を Service Provider (SP) として設定し、1つの VeloDB Cloud 組織に対して構成します。
前提条件
開始する前に、以下を確認してください:
- VeloDB Cloud 組織が Premium プランを使用していること
- VeloDB Cloud で Organization Admin であること
- Okta でアプリケーションを作成および割り当てできること
- 企業メールドメインの DNS TXT レコードを作成できること
- VeloDB Cloud アプリケーションに割り当てる Okta ユーザーまたはグループがあること
- Okta で必要な MFA およびサインオンポリシーが設定されていること
SSO を設定およびテストする間は、アクティブな Organization Admin セッションを開いたままにしておいてください。
VeloDB Cloud で SAML セットアップを開始する
-
Organization Admin として VeloDB Cloud にサインインします。
-
コンソールの左下隅にあるプロフィール領域をクリックしてアカウントメニューを開き、Authentication を選択します。
-
SAML Single Sign-on をオンにします。
-
Add Application で、以下の値をコピーします:
- Single Sign-On URL
- Service Provider Entity ID
Okta を設定している間は、このページを開いたままにしておいてください。
Okta アプリケーションを作成する
-
Okta Admin Console にサインインします。
-
Applications → Applications に移動します。
-
Create App Integration を選択します。
-
SAML 2.0 を選択し、Next を選択します。
-
VeloDB Cloudなどのアプリケーション名を入力し、Next を選択します。 -
SAML 設定を構成します:
Okta field Value Single sign-on URL VeloDB Cloud の Single Sign-On URL Audience URI (SP Entity ID) VeloDB Cloud の Service Provider Entity ID Default RelayState 空白のままにする Name ID format EmailAddressApplication username Email -
Okta が Use this for Recipient URL and Destination URL を表示する場合は、有効にします。
-
以下の attribute statement を追加します:
Name Name format Value emailBasicuser.email -
Next を選択し、Okta フィードバックフォームを完了して、Finish を選択します。
-
Assignments タブで、VeloDB Cloud にアクセスできるユーザーまたはグループを割り当てます。
詳細については、Okta ドキュメントの Create SAML app integrations を参照してください。
Okta メタデータをインポートする
- Okta アプリケーションで、Sign On タブを開きます。
- アクティブな SAML 署名証明書を見つけて、Identity Provider メタデータ URL をコピーします。Okta インターフェースによっては、この操作は Copy metadata URL または View IdP metadata とラベル付けされている場合があります。
- VeloDB Cloud に戻り、Configure Identity Provider に進みます。
- Metadata URL に Okta メタデータ URL を貼り付けます。
- Verify を選択します。
- VeloDB Cloud がインポートされた IdP SSO URL と証明書を表示することを確認します。
メタデータ URL は HTTPS で公開アクセス可能である必要があります。
ドメインを確認してプロビジョニングを設定する
- Verify Domain に進みます。
- Add Domain を選択し、
@を除いた企業メールドメインを入力します。 - DNS プロバイダーで、VeloDB Cloud が表示する TXT Record Name と Record Value を使用して TXT レコードを作成します。
- DNS 変更が伝播するまで待ち、ドメインの Verify を選択します。
- JIT プロビジョニングを通じて作成されるユーザーに割り当てる Default Role を選択します。
- JIT Provisioning Policy を選択します。
- Continue を選択します。
プロビジョニングポリシーの詳細については、JIT provisioning を参照してください。
SSO をテストして有効にする
- Test SSO Login で、Test SSO Login を選択します。
- アプリケーションに割り当てられた Okta アカウントで認証します。
- VeloDB Cloud が SSO Test Successful を報告することを確認します。
- Enable SSO に進み、Enable SSO を選択してセットアップを完了します。
SSO を強制する
SSO を強制する前に、アクティブな Organization Admin が通常の SAML サインインを完了する必要があります:
- VeloDB Cloud からサインアウトします。
- Organization Admin のメールアドレスを使用して https://www.velodb.cloud で新しいサインインを開始します。
- Okta を通じて認証し、管理者が組織にアクセスできることを確認します。
- Authentication に戻り、SAML SSO 設定を開きます。
- Enable SSO の横にある Configure を選択し、Enforce SSO を選択して変更を確認します。
サインインの開始に Okta アプリケーションタイルは使用しないでください。VeloDB Cloud は Service Provider 開始のサインインのみをサポートしています。
SSO が有効になっているが強制されていない場合、email sign-in page はパスワードまたは認証コードサインインで引き続き使用できます。
ユーザーの Okta 割り当てを削除しても、既存の VeloDB Cloud 組織メンバーシップは削除されません。メンバーをオフボードする際は、VeloDB Cloud の Members ページで別途メンバーを削除してください。