こんにちは、こやしいです。
OktaのSSO機能を用いた、Google認証の有効化を実装するにあたり、『Oktaを導入したのだから、アプリ側のGoogleボタンをOktaから自動で押させて、そのままログインできるようにしたい!』と考える方もいらっしゃるのではないでしょうか。
社内アプリのログイン画面を見ることなく一瞬でアプリが開く形は、まさにOkta導入の醍醐味です。
しかし設定を進めていくと、アプリのログイン画面にある 【Googleでログイン(Googleで続行)】 のボタンが目に留まり、(このボタン、何とかOkta側から自動でポチっと押させて通過させることはできないだろうか…?)という疑問にぶつかることがあるかと思います。
今回はOktaだからこそ実現できる、スムーズなSSO連携のルートをご紹介していきます。
理想のログインフローとは
『Googleでログイン』のボタンがあるアプリをOkta配下に統合する際、目指すべきゴールは、【OktaをIdP(認証元)として、各アプリと直接SAML/OIDCで連携し、Oktaダッシュボードから一発でサインインを完結させる】というアプローチになります。
【理想のフロー】
①GoogleアカウントでOktaにログイン(ここでダッシュボードが開く)
↓
②ダッシュボード上のアプリのアイコンをクリック
↓
③これだけでアプリへのログインが完了!
【追加オプション】GoogleをメインのIdPとする構成にする場合
基本形は「Oktaへのログイン ➔ 各アプリへのSAML/OIDC連携」ですが、追加オプションとして、GoogleをメインのIdPとする構成をとることも可能です。
GoogleをOktaの外部IdPとして設定する具体的な手順や仕様については、以下のOkta公式ドキュメントを参考に設計を進めてください。GoogleをIDプロバイダーとして追加する | Okta
【A案】対象アプリがSAML/OIDCに対応している場合
対象アプリ例:Adobe Creative Cloud、Slack、Zoomなど
もしアプリ側がSAMLやOIDCといった標準的なSSOプロトコルに対応している場合は、OktaをIdP、すなわち信頼できる認証の窓口として直接連携することが望ましいです。
これにより、ユーザーはOktaダッシュボードのAdobeアイコンをクリックするだけで、ログインできるようになります。
・SP-Initiated(アプリ側から認証を開始するタイプ)への対応について
アプリによっては、Oktaダッシュボードからのログイン(IdP-Initiated)に対応しておらず、アプリのログイン画面を経由する必要がある仕様(SP-Initiated 限定)の場合があります。この場合、後述するB案のBookmark App機能を併用し、アプリケーションへアクセスする必要があります。Okta ヘルプ - SP-initiatedに関する参考リンク
・Adobeを連携する場合のポイント
Adobe Admin Console でFederated ID / SAML SSOを設定し、OktaをIdPとして連携する方法が現実的です。
※この構成には、独自ドメインの検証(SSO設定)が可能なプランのご契約、および管理者権限が必要です。ライセンスやプランの対応状況の詳細は、予めAdobe社または各アプリベンダーへご確認ください。
【B案】対象アプリがSAML/OIDC未対応だが、ログイン直行URLがある場合 (導線の改善策)
注意点① Bookmark Appの位置づけに関して
Bookmark Appは、Oktaが認証を肩代わりする機能ではなく、指定URLへの導線を提供する機能です。A案の代替SSOではなく、導線改善策である点にご留意ください。
Oktaヘルプ - Bookmarkアプリ統合を作成する
【手順】
- Oktaアドミンコンソール > アプリケーション > アプリケーション > アプリカタログを参照にて、[Bookmark App]を検索。
- [Bookmark App]というアプリ統合をクリックし、[Add Integration(統合を追加)]をクリックして、新しいブックマークアプリを作成。
- 一般設定ページで、外部アプリのラベルとアプリのサインインページの該当URLを入力して完了 ※Request Integrationはチェック不要
- ダッシュボード上でアイコンをクリックし、先ほど登録したURL (特定のアプリ画面)に直接ジャンプする
指定URLの具体例として、Adobeをブックマークする場合を考えてみましょう。
・NG例 Adobeのトップページ(https://www.adobe.com/jp/ 等)
これでは、ページを開いた後にユーザー自身で再度ログインをクリックする手間が発生するため、自動化のメリットが得られません。
・OK例 直接ログイン(認証)を要求するURL
ここを開こうとすると自動的に認証が走る=認証画面へリダイレクトされる、という適切なURLを指定できれば、アイコンクリックのみで認証を走らせることが可能です。
注意点② 一時パラメータの排除と正しいURLの特定
サインイン画面を経由する際、ブラウザのアドレスバーからそのままコピーしたURLを使用すると、正常に遷移できないケースがあります。例えば認証途中のURLには、セキュリティ担保のために生成される state や nonce等の一時パラメータが含まれていることがあります。これをOktaに固定URLとして登録してしまうと、2回目以降のアクセス時に、セッションタイムアウトや不正なリクエストとしてエラーになる可能性があります。
対策として、ブラウザからコピーしたURLではなく、対象アプリのベンダーが、公式に固定利用を認めている『ログイン開始URL』を確認し、登録する必要があります。
アプリの管理者ガイドやサポートドキュメントでSSO・外部認証用のログイン開始URLを確認いただくか、固定のログイン用リンクの有無をベンダーへ直接お問い合わせください。注意点③
もし認証の途中でGoogleの画面を挟むような複雑な挙動(例:GIS SDK等による一時的なパラメータを含む遷移)をするアプリの場合、固定URLでの安定した遷移は難しいケースがあります。その場合は、次の【C案】を検討します。
【C案】対象アプリがSAML/OIDCに対応しておらず、Google認証ボタン操作が必要な場合
このような場合は、以下のステップに沿ってアプリベンダーへの確認と運用の見直しを進めていただくことを推奨します。
- アプリベンダーへの確認
既存のOkta連携・上位プランでのSSOや、固定のログイン開始URLが提供されていないかを、ベンダーへご確認ください。 - 代替手段の検討
ベンダー側での対応が難しい場合は、アプリ側のSAML/OIDC対応に向けた改修を組み込む・運用変更いただくか、『一度Google認証のボタン操作を挟む仕様』を前提とした運用ルールでの対応をご検討ください。
Oktaという強力な基盤を活かすロードマップとして、以下のステップで進めてみましょう。
- 標準的なSSOプロトコルに対応している場合は、Oktaを「IdP」として連携
→まずはアプリ側でFederated ID / SAML SSOを設定し、OktaとダイレクトにSSO連携する方式を進めましょう。 - その他アプリの「SAML/OIDC対応状況」を棚卸し
社内の主要なSaaSや社内システムが「SAMLやOIDCに対応しているか?」を確認します。
- 対応アプリ: A案でOktaに直結。ダッシュボードから一発ログインへ。
- 未対応アプリ: まずは一時パラメータの入らない「ログイン開始URL」が用意されているかをベンダーに確認し、B案(Bookmark Appによる導線改善)で対応可能か検証します。難しければC案として、運用変更や個別改修のロードマップに組み込みます。
Oktaを認証の主軸に据えることで、セキュリティも利便性も大きく向上します。
まずは身近なSaaSの仕様確認から始めてみませんか?
本記事は2026年現在のOkta標準機能および一般的な仕様に基づいています。今後のアップデートにより、一部仕様が変更となる可能性がございますことをご了承願います。