Okta SSO への接続

Okta SSO に接続するには

1. Okta 管理コンソール で Amazon Chime アプリケーション (OpenID Connect) を作成します。

   1. [Okta Administration Dashboard (Okta 管理ダッシュボード)] にサインインしてから、[Add Application (アプリケーションの追加)] を選択します。[Create New Application (新しいアプリケーションの作成)] ダイアログボックスで、[Web (ウェブ)]、[Next (次へ)] を選択します。

   2. [Application Settings (アプリケーション設定)] を構成する

      1. アプリケーション Amazon Chime に名前を付けます。

      2. [Login Redirect URI (ログインリダイレクト URI)] に次の値を入力します。https://signin.id.ue1.app.chime.aws/auth/okta/callback

      3. [Allowed Grant Types (許可された権限のタイプ)] セクションで、それらを有効化するためのオプションをすべて選択します。

      4. [Login initiated by (ログインを開始する方法)] ドロップダウンメニューで、[Either (Okta or App) (Okta または App のいずれか)] を選択し、関連するオプションをすべて選択します。

      5. [Initiate Login URI (ログイン開始 URI)] に以下の値を入力します。https://signin.id.ue1.app.chime.aws/auth/okta

      6. [保存] を選択します。

      7. ステップ 2 で [Client ID (クライアント ID)]、[Client secret (クライアントのシークレット)]、[Issuer URI (発行者 URI)] 情報が必要になるため、このページは開いたままにしておいてください。

2. Amazon Chime コンソールで、以下の手順にし従います。

   1. [Okta single-sign on configuration (Okta シングルサインオン設定)] ページで、ページ上部から [Set up incoming keys (受信キーの設定)] を選択します。

   2. [Setup incoming Okta keys (受信 Okta キーの設定)] で、以下を入力します。

      1. [Okta Application Settings] (Okta アプリケーション設定) から [Client ID] (クライアント ID) と [Client secret] (クライアントシークレット) の情報を貼り付けます。

      2. [Okta API] ページから適切な発行元 URI を貼り付けます。[Issuer URI (発行者 URI)] は、https://example.okta.com などの Okta ドメインであることが必要です。

3. Okta 管理コンソールで Amazon Chime SCIM プロビジョニングアプリケーションを設定して、Amazon Chime と特定の ID およびグループメンバーシップ情報を交換します。

   1. [Okta Administration Console] (Okta 管理コンソール) で、[Applications] (アプリケーション)、[Add Application] (アプリケーションの追加) を選択し、[Amazon Chime SCIM Provisioning] を検索して、アプリケーションを追加します。

      重要

      初期セットアップ中、[Do not display application to users (ユーザーにアプリケーションを表示しない)] および [Do not display application icon in the Okta Mobile App (Okta Mobile App でアプリケーションアイコンを表示しない)] の両方を選択してから、[Done (完了)] を選択します。

   2. [Provisioning (プロビジョニング)] タブで、[Configure API Integration (API 統合を設定する)] を選択し、[Enable API Integration (API 統合を有効にする)] を選択します。このページは開いたままにしておいてください。次のステップで API アクセスキーのコピーが必要になります。

   3. Amazon Chime コンソールで、[Create access key] (アクセスキーの作成) を選択して API アクセスキーを作成します。それをコピーして [Configure API Integration] (API 統合の設定) ダイアログボックスの [Okta API Token] (Okta API トークン) フィールドに貼り付け、[Test the Integration] (統合をテストする) を選択してから [Save] (保存) を選択します。

   4. Okta が Amazon Chime の更新に使用するアクションと属性を設定します。[Provisioning (プロビジョニング)] タブの [To App (アプリへ)] セクションの下から、[Edit (編集)] を選択し、[Enable Users (ユーザーの有効化)]、[Update User Attributes (ユーザー属性の更新)]、および [Deactivate Users (ユーザーの無効化)] を選択して、[Save (保存)] を選択します。

   5. [Assignments (割り当て)] タブで、新しい SCIM アプリにユーザーアクセス許可を付与します。

      重要

      ライセンスに関わらず、Amazon Chime にアクセス可能なすべてのユーザーを含むグループを介してアクセス許可を付与することをお勧めします。グループは、以前にステップ 1 でユーザー向け OIDC アプリケーションを割り当てるのに使用したグループと同じ名前である必要があります。それ以外の場合、エンドユーザーはサインインすることはできません。

   6. [Push Groups] (プッシュグループ) タブで、Amazon Chime と同期するグループとメンバーシップを設定します。これらのグループは、Basic ユーザーと Pro ユーザーを区別するために使用されます。

4. Amazon Chime でディレクトリグループを設定します:

   1. Amazon Chime コンソールで、[Okta single-sign on configuration] (Okta シングルサインオン設定) ページに移動します。

   2. [Directory groups (ディレクトリグループ)] で、[Add new groups (新しいグループの追加)] を選択します。

   3. Amazon Chime に追加するディレクトリグループの名前を入力します。名前は、ステップ 3-f で設定した [Push Groups (プッシュグループ)] のいずれかと完全に一致している必要があります。

   4. このグループのユーザーが [Basic (ベーシック)] または [Pro (プロ)] 機能を受け取るかどうかを選択し、[Save (保存)] を選択します。追加のグループを設定するには、このプロセスを繰り返します。

      注記

      グループが見つからないというエラーメッセージが表示された場合は、2 つのシステムは同期を完了していない可能性があります。数分後に、もう一度 [Add new groups (新しいグループの追加)] を選択してください。