# Okta IdP 環境の設定

IdP 環境で、Treasure Data を認可されたアプリケーションのリストに追加する必要があります。各 Treasure Data アカウントは個別のアプリケーションとして追加され、ユーザーは Okta の Treasure Data アプリケーションに割り当てられます。

以下のトピックに進んでください：

* [前提条件](#prerequisites)
* [Okta で Treasure Data アプリケーションを作成](#create-a-treasure-data-application-in-okta)
* [TD Console で Okta を設定](#configure-okta-in-td-console)
* [Okta で Treasure Data ブックマークアプリケーションを作成](#create-a-treasure-data-bookmark-application-in-okta)
* [Okta の Application Username と TD Console の User Identifier](#application-username-in-okta-and-user-identifier-in-td-console)


Treasure Data はセキュリティを確保するため、IdP 起点の SSO をサポートしていません。[Okta で Treasure Data アプリケーションを作成](#create-a-treasure-data-application-in-okta)で設定した Treasure Data アプリケーション（Single Sign-On URL、URI などを設定したもの）からはログインできません。`[https://YOUR_TD_REGION/users/initiate_sso?account_name=ACCOUNT_NAME](<https://YOUR_REGION_TD.com/users/initiate_sso?account_name=ACCOUNT_NAME>)` に直接ログインするか、[Okta で Treasure Data ブックマークアプリケーションを作成](#create-a-treasure-data-bookmark-application-in-okta)で設定したブックマークアプリケーション経由でログインする必要があります。

## 前提条件

* SSO アカウント名
* Okta アカウント
* Treasure Data アカウント
* URN リソース


## Okta で Treasure Data アプリケーションを作成

1. アカウント担当者によって新しい SSO 設定済みアカウントがセットアップされたら、[Okta で新しいアプリケーション](https://auth0.com/docs/protocols/saml/identity-providers/okta)を作成してセットアップします。


TD アカウントが sso-configuration-enabled 機能フラグで設定され、IdP 用の account_name が付与されると、一意の URN が作成されます。Okta アカウントを設定するには、IdP 用の account_name と提供された URN の両方が必要です。

1. 管理者として Okta アカウントにログインし、**Admin** ボタンを選択します。
![](/assets/configuring-your-okta-idp-environment-2024-06-20.5ca90ef45fe73cb75680a4c210a5506542b43571f67094f819cd650de2097992.f0cddcd7.png)
2. **Add Applications** を選択します。
Okta アカウントへのアクセス方法によっては、画面が以下のように表示される場合があります。


![](/assets/configuring-your-okta-idp-environment-2024-06-20-1.48f89b362afbe904a51f7f0310ca0579033ac456bc25a09427240a6e0dc20a35.f0cddcd7.png)

1. **Create New App** を選択します。
画面が以下のように表示される場合があります。


![](/assets/configuring-your-okta-idp-environment-2024-06-20-2.8a519e7e0c8e1fad2b79de4409aa3df786c204e986f64aa96f3985cf0a9fb0c8.f0cddcd7.png)

1. 次に、Treasure Data がセキュリティドメイン間で認証および認可の ID を交換するために使用する **SAML 2.0** プロトコルを選択します。


![](/assets/configuring-your-okta-idp-environment-2024-06-20-3.b0589003abd167c6fd863063471bcc472f289011c07aaa6beba5c65043e22155.f0cddcd7.png)

1. App Name を入力し、必要に応じてロゴをアップロードして SAML を設定します。
2. **App visibility** オプションを設定します：
`Do not display application icon to users` を選択
`Do not display application icon in the Okta Mobile app` を選択
3. **Next** を選択します。


![](/assets/configuring-your-okta-idp-environment-2024-06-20-4.19b9557ba2bd92b71a9e1f9a613eab74922ac70928b0b5f80c37f60d7abc6e84.f0cddcd7.png)

1. SAML を設定します。
  * **Single Sign-On URL** として `https://sso.treasuredata.com/login/callback` を使用します。この値はサイトやリージョンによって変わりません。
  * TD アカウントの設定時に作成された urn を使用します


`urn:treasuredata:sso:<SITE>:<ACCOUNT_NAME>` を `Audience URI (SP Entity ID)` として使用します。

`<SITE>` は現在、`aws`、`aws-tokyo`、`eu01`、または `ap02` のいずれかです。

例：`urn:treasuredata:sso:eu01:ACCOUNT_NAME`

* **Default Relay State** は空のままにします。
![](/assets/configuring-your-okta-idp-environment-2024-06-20-5.3f26066a2898721a1fe8ca6e3bdcdae6490e67d7cebee2012a278cc784be9b3c.f0cddcd7.png)


1. **Next** を選択します。
2. **Directory** を選択し、**Add Person** を選択して新しいユーザーを追加または招待します。


![](/assets/image-20200701-022144.b2475b0d5a5384069c2c692601ba1b70b4102b398d1c3d5aaae58d2ee319ee0d.f0cddcd7.png)

1. 招待するユーザーの名前とメールアドレスを指定します。


![](/assets/image-20200701-022555.9bb2c290893197125c78f51dc5492da1d358d96049f85b041488de33285a0237.f0cddcd7.png)
13. **Save** を選択します。

1. 招待された各ユーザーには、アカウントを有効化するためのリンクが記載されたメールが届きます。有効化されている招待と、まだ有効化待ちの招待を確認できます。


![](/assets/image-20200701-022841.d344cd20a73f34bedce6e3fcd38c820be6f94c02b82261fb67aedf39b6fd34b7.f0cddcd7.png)

1. 次に、Okta アプリケーションに割り当てる Okta ユーザーを選択します。


![](/assets/image-20200701-023223.682523a35e5187dff4a5416034819f9018410c87f7d1f537f1c515534f093dcb.f0cddcd7.png)

1. **Assign Applications** を選択します。


![](/assets/image-20200701-023525.1f3c76c1c576833a1e4e4a5b3e43501f2460aa21d9bb0209aa2f29adb1c13360.f0cddcd7.png)

1. **Assign** を選択してユーザーをアカウントに追加します。


![](/assets/image-20200701-024004.083f109454d662e803bc8260ce938a99a1817686053a071ba849d6c0fd90cf43.f0cddcd7.png)

1. ユーザーが Okta ユーザーとして Treasure Data に追加されると、認証のために Okta にリダイレクトされ、Okta の資格情報を入力します。その後、Treasure Data アカウントの IdP を設定するために必要な設定情報を取得できます。


アプリを選択し、**View Setup Instructions** を選択します。

![](https://docs.treasuredata.com/download/attachments/83493683/747IhMvf_JIIsTIht87LZS0B68FSXI_KAIA7pIayCjH3DVFXsLyX3uAlTVtRle7yZbWmBFaOh8lV2YaeNwe2t83zgfvC73khAP4TqRfBITgVF1f9hh0aS7yKG5FXGv6kzErQjFUw?version=1&modificationDate=1680132866391&api=v2)

1. 以下のいずれかのオプションを収集し、Treasure Data をインストールして、この Okta アプリケーション用の Treasure Data アカウントを設定します。


* Identity Provider Single Sign-On URL
* X.509 Certificate


![](/assets/image-20200701-025625.7e300a526dbd468311a789dd0706dc70f78c9922236899b4f93db56fefa803f4.f0cddcd7.png)
20. 単一のメタデータファイルを使用して情報を入力するには、IDP メタデータをファイルにコピーし、それを使用して TD アカウントを設定します。

![](/assets/image-20200701-025943.99ce797dc0f23bfb53975463b6793701c87893849f8a9923906ff4ce6d5cfb4c.f0cddcd7.png)

## TD Console で Okta を設定

1. この時点で、[TD Console で設定をセットアップ](/ja/products/control-panel/security/sign-in-settings/configuration-values-for-okta-sso)します。
2. 次に、接続をテストできます。
オプションで、TD Console で作業する前に Okta での作業を完了することもできます。
3. Okta での設定を完了するには、次のステップに進み、Okta でブックマークアプリケーションを作成します。


## Okta で Treasure Data ブックマークアプリケーションを作成

**Bookmark apps** は、小さな **Okta** アイコンまたはチクレットを使用して、ユーザーを特定の Web ページに誘導します。ブックマークアプリを使用すると、ユーザーは機密性の高い資格情報を提供することなく、アプリケーションに直接サインインできます。

以下の手順は、[Okta ヘルプドキュメントの手順](https://support.okta.com/help/s/article/How-do-you-create-a-bookmark-app)に基づいています。

1. Okta で別のアプリケーションを作成してセットアップします
  * **App name** を指定します。Treasure Data SSO など、任意のブックマーク名を指定できます。指定した名前は Okta ダッシュボードから表示できます。
  * **SSO URL** を指定します。URL は `https://YOUR_REGION_TD/users/initiate_sso?account_name=ACCOUNT_NAME` です。例えば、prod-aws を使用している場合、URL は `https://console.us01.treasuredata.com/users/initiate_sso?account_name=ACCOUNT_NAME` となります。


アカウント名は Treasure Data のカスタマーサクセス担当者から取得します。

1. Okta ユーザーを Okta アプリケーションのブックマークに割り当て、接続をテストします。


## Okta の Application Username と TD Console の User Identifier

Okta はデフォルトの **Application username format** として `Okta username` を使用します。**Application username** は TD Console の識別子として使用されます。TD Console では、デフォルトの識別子は `user email` です。

1. Treasure Data の識別子が Okta の Application username と一致していることを確認する必要があります。
2. **Edit** を選択して、Okta の **Application username** **format** を指定します。


![](/assets/treasure-data-trial_-_hkdnet-dev-local-sso__hkdnet-dev-local-sso.fb59d0313c5ff8c02dc3843e60aaeb5642b9a995c84a6a665b2e902a3e49982e.f0cddcd7.png)

1. 次に、**TD Console** を開いて、同じ識別子が一致していることを確認する必要があります。
2. TD Console から、**Control Panel** > **Users** に移動します。
3. ユーザーの名前またはプロファイルアイコンを選択します。
4. **Details** を選択して、TD Console でユーザーの一意の識別子を指定します。


![](/assets/hackoktaider.1de9c9d039abdcceb85c335e10702b49e09a4232c02c26668bf6421a0cf7d4a4.f0cddcd7.png)