エンタープライズ向け健康・ウェルネスプラットフォームのためのOkta SSO & SCIM連携

既存のマルチテナントバックエンドに統合された形で、認証には SAML 2.0/OIDC を介した Okta SSO を、自動ユーザープロビジョニング、プロビジョニング解除、およびグループ同期には SCIM 2.0 を実装しました。

アーキテクチャ

• アイデンティティプロバイダー: Okta (顧客管理テナント)
• SSOプロトコル: SAML 2.0 (プライマリ) + OIDC (代替)
• プロビジョニング: プラットフォームバックエンドに組み込まれた SCIM 2.0 サーバー
• バックエンド: PostgreSQL および Redis を使用した NestJS
• 認証レイヤー: SSO対応のトークン発行を伴う JWT ベースのセッション
• 管理者ダッシュボード: SSO セットアップ用の React ベースのテナント構成
• 既存の認証: SSO と並行してメール/パスワード + Google OAuth を維持

---

SSO実装 (SAML 2.0 / OIDC)

SAML 2.0 フロー

SP開始の SAML フローは次のとおりです。ユーザーはログインページにアクセスして SSO を選択し、会社のメールアドレスのドメインを入力します。プラットフォームはドメインからテナントの Okta 設定を識別し、AuthnRequest を Okta に送信します。ユーザーが認証すると、Okta は署名された SAML アサーションを返します。プラットフォームはアサーションを検証し、JWT トークンでセッションを作成します。

テナントごとの設定

各テナントの SSO は、IDプロバイダーの SSO URL、エンティティID、署名検証用の X.509 証明書、およびプラットフォームの SP エンティティID、アサーションコンシューマーサービス URL、IDプロバイダープロファイルフィールドからプラットフォームユーザーフィールドへの属性マッピングとともに設定されます。

OIDC の代替

SAML よりも OIDC を好む顧客向けに、プラットフォームは PKCE を伴う Authorization Code フローをサポートしており、OIDC クレームを介した同じ属性マッピングと JWKS を使用した ID トークン検証を利用します。

マルチテナント SSO ルーティング

プラットフォームは、ユーザーのメールアドレスのドメインに基づいて、適切なアイデンティティプロバイダーにルーティングします。ユーザーがメールアドレスを入力すると、プラットフォームはテナントの SSO 設定に対してドメインを検索します。SSO が設定されている場合、ユーザーは所属組織の Okta テナントにリダイレクトされます。設定されていない場合は、メール/パスワードまたは Google OAuth にフォールバックします。直接 SSO アクセスのためのバニティ URL もサポートされています。 ---

SCIM 2.0 実装

SCIM サーバー

プラットフォームは、Okta がユーザーとグループを管理するために呼び出す SCIM 2.0 準拠の API を公開しています。この API は、ユーザーの完全なライフサイクル操作（作成、読み取り、更新、無効化、削除）、メンバーシップ管理を伴うグループの CRUD、および機能、スキーマ、リソースタイプのための標準 SCIM ディスカバリエンドポイントをサポートしています。

SCIM を介したユーザーライフサイクル

プロビジョニング:

管理者が Okta でユーザーをプラットフォームアプリに割り当てると、Okta は SCIM API に作成リクエストを送信します。プラットフォームはテナントとの関連付けを持つユーザーアカウントを作成し、アクティブかつ SSO プロビジョニング済みとしてマークし、ユーザーはすぐに SSO を介してログインできます。

プロファイル更新:

管理者が Okta でユーザーのプロファイルを更新すると、変更は SCIM を介してプラットフォームにプッシュされます。部署が変更された場合、グループメンバーシップは自動的に再評価されます。

プロビジョニング解除:

Okta でユーザーがアプリから削除されると、プラットフォームはアカウントを無効化します — すべてのアクティブなセッションを直ちに失効させ、それ以上のログインを防ぎ、保持ポリシーに従ってデータを保持し、ライセンスシートを解放します。

再アクティブ化:

Okta でユーザーを再割り当てすると、すべての履歴データを保持したままアカウントが再アクティブ化されます。

グループ同期

Okta グループは、プラットフォームのロールとプログラムティアにマッピングされ、異なる機能レベル、管理者機能、専門ダッシュボード、および排他的プログラム登録へのアクセスを制御します。Okta でのグループメンバーシップの変更は SCIM を介してプッシュされ、再ログインを必要とせずにリアルタイムで反映されます。 ---

セキュリティと認証

SSO後のトークン発行

SAML アサーション検証後、プラットフォームは、ユーザーID、組織、ロール（SCIM グループメンバーシップから派生）、認証方法、およびアイデンティティプロバイダーに関するクレームを含むテナントスコープの JWT を発行します — これにより、SSO と他の認証方法との監査上の区別が可能になります。

セッション管理

• SSOセッションは Okta のセッションライフタイムを尊重します
• ユーザーが Okta からログアウトした際のセッション終了のためのシングルログアウト (SLO) をサポート
• 即時セッション失効のためのバックチャネルログアウト Webhook
• SCIM 無効化は、すべてのアクティブセッションを60秒以内に失効させます

セキュリティ管理

• テナントの X.509 証明書に対する SAML レスポンス署名検証
• ワンタイム使用追跡によるアサーションリプレイ防止
• アサーションタイムスタンプ検証のためのクロックスキュー耐性
• オーディエンス制限検証
• 機密性の高いデプロイメント向けに暗号化されたアサーションをサポート
• テナントごとの Bearer トークンを介した SCIM エンドポイント認証
• SCIM エンドポイントでのレート制限

---

管理者設定ダッシュボード

テナント SSO セットアップ

管理者ダッシュボードは、セルフサービスセットアップフローを提供します：

1. プロトコル選択 — SAML 2.0 または OIDC を選択
2. メタデータアップロード — IdP メタデータ XML をアップロード（設定を自動入力）
3. 属性マッピング — IDプロバイダープロファイルフィールドをプラットフォームユーザーフィールドにマッピング
4. ドメイン検証 — SSO ルーティングのためにメールアドレスドメインの所有権を検証
5. 接続テスト — 全ユーザー向けに有効にする前にテスト SSO ログインを開始
6. SCIM セットアップ — SCIM プロビジョニング設定用の Bearer トークンを生成
7. グループマッピング — IDプロバイダーグループをプラットフォームのロールとティアにマッピング

ダッシュボードは、IDプロバイダーアプリの簡単な設定のためにダウンロード可能な SP メタデータも提供します。---

主要機能

1. SAML 2.0 + OIDC サポート — テナントごとの柔軟なプロトコル選択
2. SCIM 2.0 プロビジョニング — 自動ユーザー作成、更新、および無効化
3. グループからロールへのマッピング — IDプロバイダーグループがプラットフォームのアクセスティアとプログラムを制御
4. 即時プロビジョニング解除 — SCIM 無効化により、60秒以内にアクセスが失効
5. マルチテナント SSO ルーティング — テナント全体にわたるメールアドレスドメインベースの IdP ディスカバリ
6. 共存する認証方法 — メール/パスワードと Google OAuth と並行する SSO
7. セルフサービスセットアップ — エンジニアリングサポートなしで SSO 設定を行う管理者ダッシュボード
8. シングルログアウト — ユーザーが IDプロバイダーからログアウトするとプラットフォームセッションが終了
9. 監査証跡 — すべての SCIM 操作と SSO イベントがコンプライアンスのために記録されます
10. SCIM グループ同期 — IDプロバイダーグループメンバーシップからのリアルタイムのロールおよびプログラム変更