SAML認証を使用したシングルサインオンを構成する(Okta編)

コラボフローはサービスプロバイダー（SAML SP）として、SAML 2.0プロトコルによる外部認証を利用することができます。
この記事では、コラボフローとOktaとSAML認証で連携する例を掲載します。

※ご注意※
動作確認が完了したIdPについて設定手順を順次公開しております。
他のIdPとも連携できるかと思われますが、その設定方法やトラブル解決のご案内が出来ない場合がございます。

この記事のサンプルについて

この記事では下記のサンプル環境を例とした説明文や画面ショットを掲載しております。
環境に合わせて適宜お読み変えください。

コラボフローのトップアドレス	https://cloud.collaboflow.com/example/

コラボフローのユーザーIDと、Oktaユーザー名は、一致している必要があります。
コラボフローへアクセスする際は、コラボフローのURLからアクセスしてください。
※IdP起点のSAML認証（IdP-Initiated SSO）には対応しておりません。

※コラボフロークラウド版では不要です。

WebサーバーにSSL証明書をインストールし、IISで暗号化通信（https）を利用できるように構成します。

後の手順で、このURLをOktaに設定します。

Oktaの管理エリア（Okta Admin Console）にアクセスします。
左メニューから「Applications→Applications」を選択し「Applications」画面を表示します。
「Create App Integration」ボタンをクリックします。
Sign-in methodの選択画面が表示されますので「SAML2.0」を選択し、その後「Next」ボタンをクリックします。
General Settingsの画面が表示されますので、「App name」に「collaboflow」等の分かりやすい名前を入力し、任意のロゴをアップロードします。その後「Next」ボタンをクリックします。

Configure SAMLの画面が表示されますので、以下の情報を入力します。
アプリケーションの追加_SAML設定

Single sign-on URL	事前にコラボフロー側で控えておいた「応答URL」を入力します。
Audience URI (SP Entity ID)	事前にコラボフロー側で控えておいた「アプリケーションID(URI)」を入力します
Default RelayState	「https://cloud.collaboflow.com/{コラボフローのインスタンス名}/index.cfm」を入力します。

その他の設定はデフォルトのままで「Next」ボタンをクリックします。

Feedback画面が表示されますので「I'm an Okta customer adding an internal app」を選択して画面下部の「Finish」ボタンをクリックします。
アプリケーションが登録されますので、「Sign On」タブに移動します。
画面下部の「SAML Setup」の箇所にある「View SAML setup instructions」ボタンをクリックして、SAML2.0設定情報ページを表示します。
「Identity Provider Single Sign-On URL」と「X.509 Certificate」の文字列を控えておきます。

「SAML2.0認証を有効にする」をONにし、以下の情報を入力して設定を保存します。
コラボフローSAML設定

サインオンURL	事前にOkta側で控えておいた「Identity Provider Single Sign-On URL」を入力します。
ポータルURL	コラボフローからログアウトした後に表示するサイトのアドレスを入力します。例：https://xxxxxxx.okta.com
IDプロバイダーの証明書	事前にOkta側で控えておいた「X.509 Certificate」をコピーしてに貼り付けます。

設定後の新規アクセスよりSAML2.0認証が有効になります。

ログイン中のユーザーは引き続きアクセスできますが、ログアウト後からSAML2.0認証に切り替わります。

コラボフロー側のユーザーIDと、Oktaユーザー名が一致するようユーザーを作成します。

ユーザー作成

SAMLの認証を一時的に無効化し、コラボフロー内のアカウントで認証を行う事ができます。
詳細は、「シングルサインオンを利用せず、コラボフローにログインするには」をご確認ください。