Entra IDの連携編

まずは、弊社が得意としているMicrosoft製品との関連を見てみます。
Oktaにログインし、ダッシュボードに表示されるOffice 365ポータルにアクセスしようとしている状態をお見せします。

ユーザー情報の連携先はEntra IDです。
Entra ID上にあるライセンス情報とOkta上でのユーザーデータを照合し、合致する場合はライセンス情報に基づきSSOを行います。一度Oktaにログインすることで、別サービスにログインする際も、再度メールアドレスやパスワードの入力が求められない利便性をお伝えできるかと思います。

当然ですが、ライセンス不足の場合はきちんとエラー文が表示されます。以下はライセンスにOutlookが含まれていないユーザーのログインの様子です。

実際のOktaではどのような設定が動いているのでしょうか。
Microsoftのクラウド製品と連携する場合は、WS-Federationというプロトコルを使用して、アプリケーションを通じて連携を行います。
詳しくは以下にてOkta社様が公開している記事がありますので、こちらをご参照ください。
help.okta.com

Salesforceとの連携編

では、Entra IDと連携したユーザーデータからは、Microsoft製品としかSSOできないのでしょうか。もちろんそんなことはありません。先ほどのユーザーのダッシュボード画面にはSalesforceのアイコンが表示されていました。これをクリックして、シングルサインオンできるかを見てみましょう。

同様のアクセス画面で、同様のアクセス遷移を行い、シングルサインオンできることが確認できました。また同じユーザーIDでのログインに成功しているというのも強調しておきたいところです。Salesforceにて公開されている手法にてSAML連携を事前に行い、Okta上のユーザーデータとSalesforce内のユーザーデータを照合しています。

また「プッシュ通知」という文字が動画内に見られましたが、これはOkta VerifyというOktaが提供している、多要素認証に対応したモバイル・デスクトップアプリです。詳細に関しては以下を参照していただければと思いますが、このように、アプリケーションによって多要素認証のやり方のカスタマイズが可能なこともお伝えしたく思います。

help.okta.com

この内情はアプリケーションと関わります。連携の際にアプリケーションを作成し、それをユーザーに割り当てることで同一IDでの、迅速なSSOを可能にさせます。
以下は、上記にてSalesforce、Microsoft 365のシングルサインオンを行ったユーザーの実際の割り当て画面です。

このあたりの設定の内情に関しては、また場を改めて詳しくお伝えできればと思います。

Entra ID連携応用編 ~AVDとつながるSSO~

また、OktaとEntra IDでの連携ができるということは、応用して以下のようなシングルサインオンも可能です。
AVDにログインする際に、Oktaの認証を通してみましょう。

Oktaの認証が中間に入ったことが確認できます。
また今回はパスワードでの認証となっていますが、もちろん先にご紹介した通り、Okta Verifyを嚙ませた認証も可能です。
認証の三要素*2を交えたセキュリティの高さと、製品を通した同一ユーザーデータでの認証、両方を叶えたシングルサインオンが完成できます。