メインコンテンツへスキップ
Cross App Access (XAA) は現在ベータ版です。この機能を使用することにより、お客様は Okta の Master Subscription Agreement に定められた、該当する無料トライアル条件に同意したものとみなされます。Auth0 のプロダクトリリースサイクルの詳細については、Product Release Stages を参照してください。本プログラムに参加するには、Auth0 Support またはお客様担当の Technical Account Manager までお問い合わせください。
このセクションでは、Resource App のエンドツーエンドのテスト環境を設定する方法について説明します。Auth0 テナントを Resource App 認可サーバーとして構成することで、コードの変更を一切行うことなく、SaaS アプリケーションが受信した ID-JAG リクエストを受け付けられるようになります。これにより、SaaS API はこれらのリクエストに応じてアクセストークンを生成できるようになり、AI エージェントやその他のアプリケーションがシームレスに API を利用できるようになります。
このガイドでは、Okta をエンタープライズのアイデンティティ プロバイダー (IdP) として使用し、テストに利用できる Okta テナントに対する管理者アクセス権を持っていることを前提としています。お持ちでない場合は、Create and configure your Okta tenant を参照してください。
Resource App 用のエンドツーエンドのテスト環境を設定するには、次の手順を実行します。
  • Resource App を構成および登録する: これには、Auth0 テナントの構成と、SaaS アプリケーションを Okta に Resource App として登録する作業が含まれます。詳細については、Resource App setup を参照してください。
  • エンドツーエンドをテストするための Requesting App を構成する: これには、Auth0 テナントにテスト用の Requesting App を登録し、それを Resource App と関連付けるよう Okta の設定を更新する作業が含まれます。詳細については、Requesting App setup を参照してください。
  • Auth0 テナントが顧客のエンタープライズ IdP とフェデレーションする方法を構成する: テスト環境では、エンタープライズ IdP は、エンタープライズ顧客の 1 社を表す Okta のテストテナントになります。詳細については、Federate with the enterprise IdP and Organization configuration を参照してください。
  • Okta で Cross App Access を管理する: Okta 管理コンソールで、エージェントからアプリ、およびアプリ間の接続を構成します。詳細については、Manage Cross App Access in Okta を参照してください。
次の画像は、本番環境対応の XAA フローにおいて、さまざまなペルソナが担う責任範囲を示したものです。

Okta テナントを作成して設定する

Resource App 用のエンドツーエンドのテスト環境をセットアップするには、Cross App Access を利用するための Okta テナントを作成して設定する必要があります。
  • Okta Developer サイトで Okta Integrator Free Plan にサインアップします。サインアップが完了すると、新しい Okta テナントにリダイレクトされます。
  • Okta Admin Console で Settings > Features に移動します。[Early access features]セクションで Cross App Access を有効にします。

Resource App のセットアップ

Resource App をセットアップするには、次の作業を行います。

Auth0 で API を作成する

すでにカスタム API を Auth0 テナントに作成済みの場合は、このセクションはスキップできます。
Auth0 Dashboard で、Auth0 テナント内の SaaS API を表すカスタム API を登録します。
API を作成したら、Tenant Settings で、その API のオーディエンスを Auth0 テナントの Default Audience として設定することもできます。 また、API Access Policies for Applications を使用して、どのアプリケーションにどのスコープで API へのアクセスを許可するかを細かく制御できます。

Auth0 で Resource App を作成する

Auth0 テナントに、SaaS アプリケーションへのログインに使用できるアプリケーションがすでに 1 つ以上作成済みであれば、このセクションはスキップできます。
Auth0 Dashboard で アプリケーションを作成します。一般的な Web アプリ、SPA、またはネイティブ アプリなど、エンドユーザーが SaaS アプリケーションの機能にアクセスするための主要なインターフェースとなるものを作成します。

Okta に Resource App を登録する

SaaS アプリケーションを有効な Resource App として扱うには、Okta Integration Network (OIN) に登録する必要があります。 SaaS アプリケーションを Okta で Resource App として登録するには、次の 2 つの方法があります。
  • 簡単なテスト用セットアップには、すでに OIN に登録されている Todo0 アプリケーションを使用することを推奨します。Okta 管理コンソールで Applications > Applications > Browse App Catalog に移動し、Todo0 を検索します。選択して連携を追加します。
  • また、Okta テナントから OIN への新しいアプリケーションの登録を申請することもできます。詳細については、SSO および SCIM 統合の申請プロセス を参照してください。登録プロセスを迅速化するには、Auth0 または Okta の担当者にお問い合わせください。
本番環境では、エンタープライズ顧客は IdP のセットアップ時に OIN カタログからあなたの SaaS アプリケーションをインストールします。
さらに、Resource App に関連付けられている Auth0 テナントの issuer URL を Okta に提供する必要があります。Requesting App は、この issuer URL を使用して Resource App への接続をリクエストします。詳細については、Test the end-to-end XAA flow を参照してください。

Requesting App のセットアップ

本番環境では、各 Requesting App を一度構成すれば、Resource App との接続が有効になります。
Requesting App をセットアップするには、次の作業が必要です。

Auth0 で Requesting App を作成する

エンドツーエンドの環境をテストするには、Requesting App として動作するアプリケーションを作成して登録します。アプリケーションは、Web アプリケーションのようにクライアントシークレットを保存できる機密クライアントである必要があります。 Auth0 テナント内で Requesting App を表すアプリケーションを作成するには、次のようにします。
  • Applications > Applications に移動し、Create Application を選択します。
  • 名前を入力し、Regular Web Application を選択します。
  • アプリケーションを作成したら、Settings までスクロールし、Cross App Access のトグルを有効にします。
アプリケーションを作成して構成したら、Okta にアプリケーションの client_id と Auth0 テナントの issuer URL を渡す必要があります。これにより、client_id で識別される Requesting App と、issuer URL で識別される Resource App 間の接続が確立されます。詳細については、エンドツーエンドの XAA フローをテストするを参照してください。

Okta で Requesting App を登録する

本番環境では、Requesting App の開発者が Okta Integration Network (OIN) に Requesting App を登録します。エンタープライズ顧客は、IdP のセットアップ中に OIN カタログから Requesting App をインストールします。
Okta をエンタープライズ IdP として使用する場合、XAA Requesting App として有効と見なされるには、そのアプリケーションを Okta Integration Network (OIN) に登録する必要があります。 Requesting App を Okta に登録するには、次の 2 つの方法があります。
  • 簡単なテスト環境をすぐに用意するには、すでに OIN に登録されている Agent0 アプリケーションを使用することを推奨します。Okta Admin Console で Applications > Applications > Browse App Catalog に移動し、Agent0 を検索します。それを選択してインテグレーションを追加します。
  • OIN に新しいアプリケーションの登録を依頼することもできます。詳細については、Submission process for SSO and SCIM integrations を参照してください。登録プロセスを迅速化するには、Auth0 または Okta の担当者に連絡してください。
Requesting App は Okta を使ってエンタープライズ従業員を認証するため、Okta でアプリケーションの sign-on policy を構成する必要があります。
  1. Applications > Applications に移動し、アプリケーション (例: Agent0) を選択します。
  2. Sign OnEdit を選択し、Redirect URI フィールドに Requesting App のコールバック URL を追加します。使用するテストアプリケーションに応じて Redirect URI の値を調整します。詳細については、Test the end-to-end XAA flow を参照してください。
  3. Save を選択します。
最後に、テストユーザーが Okta 上の Requesting App にログインできるようにします。 Okta Admin Console で:
  1. Applications に移動し、アプリケーション (例: Agent0) を選択します。
  2. Assign > Assign to People を選択し、テストユーザーを選択します。
  3. Save を選択します。

エンタープライズ IdP と組織設定のフェデレーション

本番環境では、各エンタープライズ顧客ごとに 1 回だけ設定を行い、その顧客を Auth0 テナントとフェデレーションします。Auth0 は今後のバージョンで Self-Service SSO をサポートする予定であり、これにより SSO セットアップの一環として、XAA 設定をエンタープライズ顧客側に委任できるようになります。
Resource App の認可サーバーとして動作する Auth0 テナントを、エンタープライズ顧客の Okta テナントとフェデレーションする必要があります。このフェデレーションにより暗号学的な信頼が確立され、アプリケーションは顧客の IdP から発行される署名付きアサーション(ID-JAGs)を検証して受け入れられるようになります。 Resource App に接続されている複数のエンタープライズ顧客に対するエンドツーエンドの XAA フローをテストするには、このセクションの手順を、Auth0 テナント内の複数の Okta Workforce Enterprise Connection に対して繰り返します。各 Connection は別々の Okta テストテナントにマッピングされ、各テナントが異なるエンタープライズ顧客を表します。

Okta Workforce Enterprise 接続を構成する

Resource App の client_idclient_secret を使用して、Auth0 テナント内に Okta Workforce Enterprise 接続を作成 します。 Okta Workforce Enterprise 接続を作成する際は、Cross App Access - Resource Application ロールを有効化します。これにより、その接続に関連付けられたエンタープライズ IdP(アイデンティティプロバイダー)が発行する ID-JAG を Resource App が受け入れられるようになります。この場合は、Okta テナントが該当します。
Okta Workforce Enterprise 接続を作成したら、接続の設定に表示される Auth0 提供のコールバック URL をコピーします。Resource App のサインオンポリシーを Okta テナントで構成する際に、このコールバック URL が必要になります。 Okta Admin Console で次の操作を行います。
  1. Applications > Applications に移動し、アプリケーション(例: Todo0)を選択します。
  2. Sign On 設定で Edit を選択し、Redirect URI フィールドにコールバック URL を追加します。
  3. Save を選択します。
Okta Workforce Enterprise 接続をテストするには、テストユーザーを作成し、そのユーザーに Requesting App へのログイン権限を付与します。 Okta Admin Console で次の操作を行います。
  • Applications に移動し、アプリケーション(例: Agent0)を選択します。
  • Assign > Assign to People を選択し、テストユーザーを選択します。
  • Save を選択します。
Auth0 Dashboard で次の操作を行います。
  • Authentication > Enterprise > Okta Workforce に移動します。
    • 作成した Okta Workforce Enterprise 接続を選択し、Applications タブを開きます。そこで、この接続用に作成した Requesting App を有効化します。
    • Okta Workforce 接続の一覧に戻ります。対象の接続の右側にある三点アイコンを選択し、Try を選択します。Okta テナントで認証を行う画面にリダイレクトされるので、テストユーザーでログインしてフローを完了します。

組織を設定する

必要に応じて、エンタープライズ顧客に Organizations を使用させたい場合は、その顧客用の組織を作成し、その組織に対して Okta Workforce Enterprise 接続を有効化します。これにより、この接続のスコープ内で XAA を使用して生成されたアクセストークンは、対象ユーザーがその組織のメンバーである場合、自動的に対応する org_id に関連付けられます。
また、Requesting App の Organization の動作を構成して、そのアプリで Organizations の使用を必須にするか、任意とするかを設定できます。まずは Both を選択してテストを開始することを推奨します。これにより、ユーザーは組織メンバーとしてログインすることも、個人アカウントでサインアップすることもできます。