Okta はベンダー中立の専業 IdP で、数千の SaaS との連携テンプレート(Okta Integration Network, OIN)が強みです。SAML SSO と SCIM の設定手順を解説します。
前提
- Okta の管理者権限
- 対象 SaaS の対応規格を確認(SaaS別SSO対応一覧)
1. アプリケーションを追加
管理コンソール →「Applications」→「Browse App Catalog」。OIN に対象 SaaS があればテンプレートを使うと設定が大幅に楽になります。無ければ「Create App Integration」→ SAML 2.0 を選択。
2. SAML 設定
- Single sign-on URL(ACS URL):SaaS の指定値
- Audience URI(Entity ID):SaaS の指定値
- Name ID format:EmailAddress が一般的
- Attribute Statements:SaaS が要求する属性(email, firstName, lastName, groups 等)
3. メタデータの受け渡し
Okta の Identity Provider metadata(または署名証明書+SSO URL)を SaaS 側に登録します。署名証明書の有効期限管理を忘れずに(証明書運用)。
4. ユーザー・グループの割り当て
「Assignments」でアプリを使えるユーザー/グループを割り当て。Okta のグループを SaaS のロールにマッピングする運用が一般的です。
5. SCIM プロビジョニング
「Provisioning」→「Configure API Integration」で SaaS の SCIM エンドポイントとトークンを設定。Create/Update/Deactivate を有効化すると、入退社が自動反映されます(SCIMとは)。退職者の即時無効化に有効です。
つまずきやすいポイント
- 属性名の大文字小文字・スペルが SaaS 側と不一致
- SCIM トークンの権限不足
- 割り当て解除=即デプロビジョニングになる設定の理解不足
まとめ
Okta は連携カタログの広さが武器です。Entra ID との比較は IdP比較表 と Entra ID の設定手順、全体像は 企業SSO完全ガイド を参照してください。