fnest: Okta Integrator Free Planに移行する
okuokuいわゆる Okta でサインインを実装するために従来Free Plan(oktapreview.com)を使っていたけど、廃止されたので移行する。
okuoku管理者アカウントはOkta Verify必須になった
従来(Identity Engineに移行する前)は通常のTOTP(Google認証システム)などが使えたが、必須になったようだ。一度アカウントを作成してから有効にすることはできるっぽいが未検証。
okuokuCloudflareのオプション変更
- Zero Trust → Settings → Authentication で追加できる。インストラクションは出るが英語。
- Okta側では、 アプリケーション → アプリ統合を作成 → OIDC、Webアプリケーションを選択。
- OktaのClient IDをCloudflareのApp IDにペースト
- その他もドキュメントの通りに設定する。シークレットとか。
Oktaのデフォルトのセキュリティ設定では、Cloudflareの管理UIからのテストに失敗する。(管理UIにリダイレクトしようとするが、これは通常のcallback URIでないため)
Okta側では、ユーザーを適当に作成し、作成したOIDCアプリケーションをわりあてておく。
okuokuユーザーの構成
デフォルトで2要素認証になったようだ。
通常のユーザーダッシュボードにログインしようとすると、Okta Verifyのセットアップを求められる。
okuokuOkta プッシュ通知とFastPassの有効化
... デフォルトで有効じゃないの。。?
セキュリティ → Authenticator から Okta Verify で編集できる。
okuokuPC(Windows)版Okta Verifyのダウンロードとインストール
ドキュメントは何故か直球のダウンロードURLを持っていない。Adminコンソールの 設定 → ダウンロード の最下部にある。(... 何で他のプラットフォームみたいに公式ストアで配らないの。。?)
アカウントの追加にはサインインURLを使う(ユーザー名ではない)
okuoku実際のe-mailなしでユーザーを作る
OktaもCloudflare Zero Trustも、ユーザーのe-mailアドレスが実在する必要は無い。このため、ユーザー名として username@domain.invalid のような適当な文字列を使える。
当然、e-mail経由の新規登録、ログインやパスワードリセット等はできなくなるので、その辺の操作はadmin consoleで行う必要がある。
okuokuWebサイトのアイコンをダッシュボードに追加する
Okta verifyのダッシュボードのリンクからユーザーダッシュボードに飛べる。デフォルトではアイコンが出現しないが、設定すればこのページをブックマーク的に利用できる(ただしこの機能はPC版のOkta Verifyには無い)。
一般設定 → ログイン からログイン開始元を "Okta または アプリ" に設定し、 "アプリケーションのアイコンをユーザーに表示する" をOn、ログイン開始のURIを設定する。
