メインコンテンツにスキップ
すべてのコレクションRippleRipple - AWSRipple − 設定
Ripple - SAML SSO for Okta を設定する
Ripple - SAML SSO for Okta を設定する
Rena Mochizuki avatar
対応者:Rena Mochizuki
2年以上前に更新

Okta を使用した RippleでのSAML SSOの設定方法について記載しています。

以下本ページで使用される用語です。

  • IdP (Identity Provider) - ユーザーIDとクレデンシャルの役割を果たすサービスのこと。このページでは Oktaを指します。

  • SP (Service Provider) - サインインする対象のアプリケーションのこと。ここではRippleを指します。

事前準備

  • 事前にRippleにログインする対象のOktaユーザーに付与するロールを作成しておきます。下記の記載を参考にしてください。

    {service}/{name}

    where:
    {service} - either ripple, user, or rbac
    {name} - the role name

    Example:
    ripple/admin

手順

  • Oktaの管理者ページの Applications > Applications メニューからSAML 2.0をサインインメソッドとしたapp integrationを作成します。下記の設定をSAMLコンフィグレーションの参考としながら手順をすすめてください。

    App name: 任意の名前。このサンプル手順では 'Ripple SAML'とします。

    SSO URL: https://login.alphaus.cloud/ripple/saml
    ** 注意 "このURLを Recipient URL と Destination URLとして使用します。"

    Audience URI (SP Entity ID): SSO URL と同じ

    Attribute statements:
    Name: https://app.alphaus.cloud/ripple/SAML/Attributes/IDPID
    Name format: leave default (Unspecified)
    Value: user.rippleIdpId

    Name: https://app.alphaus.cloud/ripple/SAML/Attributes/Profiles
    Name format: leave default (Unspecified)
    Value: user.rippleProfiles

    Name: https://app.alphaus.cloud/ripple/SAML/Attributes/SessionName
    Name format: leave default (Unspecified)
    Value: user.email

  • 上記の user.rippleIdpIduser.rippleProfiles と記載されたふたつのattributes をprofile attributesに追加してください。user.email のattribute はデフォルトで有効化されているはずです。 Directory > Profile Editor に遷移し以下の attributes 属性を追加してください。

    Data type: string
    Display name: RippleIdpId
    Variable name: rippleIdpId

    Data type: string
    Display name: RippleProfiles
    Variable name: rippleProfiles

    以下のような表示になります。

  • Sign On タブのダウンロードリンクからIdP メタデータ (xml) ファイルをダウンロードし保存してください。後からRippleにアップロードするファイルです。

    リンクをクリックすると新しいブラウザーを開く場合があります。Ctrl+S もしくは Cmd+S を使用しXML ファイル形式で保存してください. このページでは metadata.xml として記載します。

  • Ripple にログインし IdP 設定を作成します。 Preferences > Identity Provider Setting > Add identity provider に遷移し、名前を付け metadata.xmlSAML Metadata としてアタッチしてください。作成された IDは後にOktaで使用するため失くさないよう保存してください。IDは以下のような UUID フォームです。

    ec70114e-840b-474f-92c0-e663a47ed2d1

  • Preferences > User Setting > MSP IDから参照できるOrganization (もしくは MSP) ID に関しても保存してください。下記のような記載です。

    MSP-abcd1234

  • Okta に戻る前に以下の情報を持っていることを確認してください。

    • MSP id

    • IdP id

    • Okta ユーザーに付与するRoleの一覧 (事前準備を参照)

  • Okta に戻りRippleにログインするユーザーのprofilesを更新します。このページでは複数ユーザーに対しての一括更新ではなく1ユーザーごとに変更します。Directory > People に遷移しユーザーを選択、Profile タブに移動し Edit をクリックします。

  • custom attributes に値を入力します。IdP idをrippleIdpId attribute の value として入力してください。rippleProfiles attribute には以下の記載方法を使用してください。

    {MSP-ID}:{comma-separated-roles}

    Example:
    MSP-abcd1234:ripple/admin,user/readonly

    画面の例

  • SP app には更新されたユーザーを追加してください。Assignments タブから操作が実行できます。

  • 設定が正しければ SSOを使用してRippleにログインできます。 SSO URL を開きログイン画面が以下の画像のようになっているか確認しましょう。

こちらの回答で解決しましたか?