OktaによるSAML認証の設定方法

OktaをIdPとして、ScrapboxにSAML認証する方法を説明します

まず https://会社名.okta.com から管理者メニューに入り、新規SAMLアプリケーションを追加する

App Integration CatalogではなくCreate New Appを選択

https://gyazo.com/60128f3049a6a9808f759d97e25ad870

SAML 2.0を選択

https://gyazo.com/f9ebd45cf14b78db29397bd6975a9b70

Single sign-on URL、Audience URIの設定

左がOkta、右がScrapbox

https://gyazo.com/254c80bad5be03e4aecd85f60ad062d3

Audience URI (SP Entity ID)は自由な文字列を作成し、ScrapboxとOktaの双方に同じ値を設定する

OktaのダッシュボードからScrapboxを開けるようにする設定

https://scrapbox.io/nota を開く場合、Default RelayStateに{"project": "nota"}を指定します

https://gyazo.com/c6e341135fcf4088511ee51841cdee8b

email属性をマッピング

上のスクリーンショットと同じ、Configure SAML画面の中程で設定できます

https://gyazo.com/c40cd87c531d80f79bf8f9f98fa4f031

emailという名前のフィールドにメールアドレスがセットされるようにマッピングする

emailをuser.emailに割り当てる

URI Referenceフォーマットを使う

社内アプリとして保存する

https://gyazo.com/da59c80f9362f238c1b977e424c8d45f

これでOktaにアプリケーションが新規作成されましたshokai.icon

Okta側の設定は一旦完了です

続けてScrapboxの設定を行います

Sign on URLとSigning Certificateの設定

保存したSAMLアプリケーションのSign Onタブを選択

https://gyazo.com/10a511ab483580df474ae6dba2b8a758

下の方にある、Sign on URLとSigning CertificateをScrapboxに設定する

https://gyazo.com/2c441feca3d385b1a56bf38c1b0fdd6d

以下の説明は省略します

Okta内でのユーザーグループ分け

ユーザーグループ毎のSAMLアプリケーションへのアクセス権限設定

以上で設定完了ですshokai.icon

ログアウト状態で https://scrapbox.io/プロジェクト名/ にアクセスすると、SAMLログインボタンが表示されているはずです

確認にはシークレットウィンドウを使うと便利です

OktaのダッシュボードからScrapboxにログインする事もできます

projectへの参加には招待URLを使ってください