SAML認証によるOktaからZohoアカウントへのアクセス

OktaでSAMLを使用したシングルサインオンを設定すると、Oktaの認証情報を使用してZohoアカウントにサインインできます。

設定に必要なOktaの情報

ZohoでSAML認証を設定するにあたって、次のOktaの情報が必要です。これらの情報をOktaから取得する方法については、以下の手順で説明します。

アイデンティティプロバイダー（IdP）のシングルサインオンURL
X.509証明書

SAMLの設定手順

accounts.zoho.com にサインインします。
画面左側のメニューから、［組織］→［ SAML認証 ］をクリックします。［組織］が見当たらない場合は、［ 詳細表示 ］をクリックします。
［ メタデータをダウンロードする ］をクリックします。
ダウンロードしたメタデータファイルをブラウザーまたはテキストエディターを使用して開きます。
メタデータファイルを開いたら、 Entity ID（エンティティID）と ACS URL をコピーして保存します。
Okta Admin Consoleにサインインします。
画面左側のメニューから ［Applications］ （アプリケーション）をクリックし、サブメニューから ［Applications］ （アプリケーション）をクリックします。
［Add Application］ （アプリケーションを追加する）→［Create New App］（新しいアプリを作成する）の順にクリックします。 ［SAML 2.0］ を選択し、 ［Create］ （作成する）をクリックします。
［App Name］ （アプリ名）の項目にアプリの名前を入力し、 ［Next］ （次へ）をクリックします。
［Single sign on URL］ （シングルサインオンURL）にコピーしておいたACS URLを、［Audience URI］ （オーディエンスURI）にコピーしておいたエンティティID を貼り付けます。
［Name ID Format］ （Name IDの形式）の項目で、 ［EmailAddress］ （メールアドレス）を選択します。
下までスクロールし、 ［Next］ （次へ）をクリックします。
［Are you a customer or partner?］（顧客またはパートナーの選択）の項目で ［I'm an Okta customer adding an internal app］ （内部アプリを追加する顧客です）を選択し、 ［Finish］ （完了する）をクリックします。
作成したアプリの詳細ページで、 ［Sign On］ （サインオン）タブをクリックします。
［Settings］ （設定）の項目で、 ［View Setup Instructions］ （設定手順を表示する）をクリックします。アイデンティティプロバイダー（Idp）の情報が記載されているページが表示されます。
［Identity Provider Single Sign-On URL］ （アイデンティティプロバイダー（IdP）のシングルサインオンURL）をコピーし、 ［X.509 Certificate］ （X.509証明書）をダウンロードします。
Zohoアカウント（ accounts.zoho.com ）にサインインします。
Oktaからダウンロードした証明書とコピーしたURLを使用して、 ZohoアカウントでSAML認証を設定します。

［サインインURL］ の項目に、コピーした ［Identity Provider Single Sign-On URL］ （アイデンティティプロバイダー（IdP）のシングルサインオンURL）を貼り付けます。
［公開鍵］ の項目で、ダウンロードした［X.509 Certificate］（X.509証明書）をアップロードします。証明書の形式は、Base64でエンコードされた.cer、.crt、.cert、.pemのいずれかのファイルにしてください。

Oktaでのユーザーへのアプリの割り当て

Oktaに登録されているユーザーは、Zohoサービスにサインインする際に、上記の手順で新しく設定されたZohoアプリを使用することができます。使用するにあたって、管理者は事前にユーザーにアプリを割り当てる必要があります。ユーザーにアプリを割り当てるには、次の記事に記載されている手順をご参照ください。

https://help.okta.com/en/prod/Content/Topics/Provisioning/lcm/lcm-assign-app-user.htm

SAML設定のテスト

次の手順を実施して、設定が正しく行われているかテストします。Oktaでテストを行う際は、ユーザーとして実施します。

サービスプロバイダー（Zoho）を起点としたSAML認証のテスト：

Zohoのサインインページに移動します。
メールアドレスを入力して、 ［次へ］ をクリックします。アカウント認証のため、Oktaのページに移動します。
Oktaにサインインしていない場合、Oktaの認証情報を入力してサインインします。Zohoページに再度移動し、サインインが完了します。

アイデンティティプロバイダー（Okta）を起点としたSAML認証のテスト：

Oktaのユーザー用ダッシュボードにサインインします。
Zoho用に設定したSAMLアプリをクリックします。Zohoのページに移動し、サインインが完了します。

シングルログアウト（SLO）

Oktaは、サービスプロバイダー（Zoho）を起点としたシングルログアウト（SLO：Single Log Out）のみサポートしています。ユーザーが、Zohoサービスからログアウト（サインアウト）すると、Oktaからもログアウト（サインアウト）します。その逆の場合は連動しません（Oktaからログアウトしても、Zohoサービスからはログアウトしません）。Oktaのシングルログアウトに関する詳細は、 Oktaのヘルプセンターの記事をご参照ください。

シングルログアウトを有効にする手順：

accounts.zoho.com （Zoho Accounts）の［組織］→ ［SAML認証］ に移動し、 ［編集する］ （初回の場合は［設定する］）をクリックします。
［サインインURL］ をコピーし、URLの「sso」部分を「slo」に置き換えてから、［サインアウトURL］の項目に入力します。
例：

サインインURL ：
https://zylker.okta.com/app/zylker_app_1/exkewk79Kq4696/ sso /saml
サインアウトURL ：
https://zylker.okta.com/app/zylker_app_1/exkewk79Kq4696/ slo /saml

SAML認証の設定画面の下部にある、一括サインアウト（シングルサインアウト）の設定を有効にします。
［送信する］ をクリックします。なお、公開鍵（X.509証明書）を再設定しておく必要がある場合があります。
右上にある［ダウンロードする］をクリックし、［メタデータ］をクリックします。
ダウンロードしたファイル「zohometadata.xml」をブラウザーまたはテキストエディターで開きます。メタデータファイルの内容から、 エンティティID 、および<md:SingleLogoutService>タグの中の「Location」属性に記載されている シングルログアウトのURL をコピーします。
右上に表示されている［ダウンロードする］をクリックし、［公開鍵］をクリックします。
「logoutcertificate.pem」という名前のファイルがダウンロードされます。
Oktaの管理画面に移動し、設定したアプリケーションに移動します。
［General Settings］ （基本設定）タブに移動します。
［SAML settings］ （SAML設定）の横にある ［Edit］ （編集する）をクリックします。
［Next］ （次へ）をクリックして、 ［Configure SAML］ （SAMLを設定する）に進みます。
基本項目の下にある ［Show Advanced Settings］ （詳細設定を表示する）リンクをクリックします。
［Allow application to enable Single Logout］ （アプリケーションにおいてシングルログアウトを有効にする）設定にチェックを入れます。
［Single Logout URL］ （シングルログアウトのURL）の項目に、コピーしておいたシングルログアウトのURLを貼り付けます。
［SP Issuer］ （サービスプロバイダー識別子）の項目に、コピーしておいたエンティティIDを貼り付けます。
署名証明書の横の ［Browse］ （参照する）をクリックし、ダウンロードした「logoutcertificate.pem」ファイルを選択します。
［Upload Certificate］ （証明書をアップロードする）をクリックします。
［Next］ （次へ）→ ［Finish］ （完了する）をクリックします。