こんにちは、こやしいです。
OktaのSSO機能を用いた、Google認証の有効化を実装するにあたり、『Oktaを導入したのだから、アプリ側のGoogleボタンをOktaから自動で押させて、そのままログインできるようにしたい!』と考える方もいらっしゃるのではないでしょうか。
社内アプリのログイン画面を見ることなく一瞬でアプリが開く形は、まさにOkta導入の醍醐味です。
しかし設定を進めていくと、アプリのログイン画面にある 【Googleでログイン(Googleで続行)】 のボタンが目に留まり、(このボタン、何とかOkta側から自動でポチっと押させて通過させることはできないだろうか…?)という疑問にぶつかることがあるかと思います。
今回はOktaだからこそ実現できる、スムーズなSSO連携のルートをご紹介していきます。
【理想のフロー】
①GoogleアカウントでOktaにログイン(ここでダッシュボードが開く)
↓
②ダッシュボード上のアプリのアイコンをクリック
↓
③これだけでアプリへのログインが完了!
【追加オプション】GoogleをメインのIdPとする構成にする場合
基本形は「Oktaへのログイン ➔ 各アプリへのSAML/OIDC連携」ですが、追加オプションとして、GoogleをメインのIdPとする構成をとることも可能です。
GoogleをOktaの外部IdPとして設定する具体的な手順や仕様については、以下のOkta公式ドキュメントを参考に設計を進めてください。GoogleをIDプロバイダーとして追加する | Okta
対象アプリ例:Adobe Creative Cloud、Slack、Zoomなど
もしアプリ側がSAMLやOIDCといった標準的なSSOプロトコルに対応している場合は、OktaをIdP、すなわち信頼できる認証の窓口として直接連携することが望ましいです。
これにより、ユーザーはOktaダッシュボードのAdobeアイコンをクリックするだけで、ログインできるようになります。
・SP-Initiated(アプリ側から認証を開始するタイプ)への対応について
アプリによっては、Oktaダッシュボードからのログイン(IdP-Initiated)に対応しておらず、アプリのログイン画面を経由する必要がある仕様(SP-Initiated 限定)の場合があります。この場合、後述するB案のBookmark App機能を併用し、アプリケーションへアクセスする必要があります。Okta ヘルプ - SP-initiatedに関する参考リンク
・Adobeを連携する場合のポイント
Adobe Admin Console でFederated ID / SAML SSOを設定し、OktaをIdPとして連携する方法が現実的です。
※この構成には、独自ドメインの検証(SSO設定)が可能なプランのご契約、および管理者権限が必要です。ライセンスやプランの対応状況の詳細は、予めAdobe社または各アプリベンダーへご確認ください。
注意点① Bookmark Appの位置づけに関して
Bookmark Appは、Oktaが認証を肩代わりする機能ではなく、指定URLへの導線を提供する機能です。A案の代替SSOではなく、導線改善策である点にご留意ください。
Oktaヘルプ - Bookmarkアプリ統合を作成する
【手順】
指定URLの具体例として、Adobeをブックマークする場合を考えてみましょう。
・NG例 Adobeのトップページ(https://www.adobe.com/jp/ 等)
これでは、ページを開いた後にユーザー自身で再度ログインをクリックする手間が発生するため、自動化のメリットが得られません。
・OK例 直接ログイン(認証)を要求するURL
ここを開こうとすると自動的に認証が走る=認証画面へリダイレクトされる、という適切なURLを指定できれば、アイコンクリックのみで認証を走らせることが可能です。
注意点② 一時パラメータの排除と正しいURLの特定
サインイン画面を経由する際、ブラウザのアドレスバーからそのままコピーしたURLを使用すると、正常に遷移できないケースがあります。例えば認証途中のURLには、セキュリティ担保のために生成される state や nonce等の一時パラメータが含まれていることがあります。これをOktaに固定URLとして登録してしまうと、2回目以降のアクセス時に、セッションタイムアウトや不正なリクエストとしてエラーになる可能性があります。
対策として、ブラウザからコピーしたURLではなく、対象アプリのベンダーが、公式に固定利用を認めている『ログイン開始URL』を確認し、登録する必要があります。
アプリの管理者ガイドやサポートドキュメントでSSO・外部認証用のログイン開始URLを確認いただくか、固定のログイン用リンクの有無をベンダーへ直接お問い合わせください。注意点③
もし認証の途中でGoogleの画面を挟むような複雑な挙動(例:GIS SDK等による一時的なパラメータを含む遷移)をするアプリの場合、固定URLでの安定した遷移は難しいケースがあります。その場合は、次の【C案】を検討します。
このような場合は、以下のステップに沿ってアプリベンダーへの確認と運用の見直しを進めていただくことを推奨します。
アプリ側でFederated ID / SAML SSOを設定し、OktaとダイレクトにSSO連携する方式を進めましょう。Oktaを認証の主軸に据えることで、セキュリティも利便性も大きく向上します。
まずは身近なSaaSの仕様確認から始めてみませんか?
本記事は2026年現在のOkta標準機能および一般的な仕様に基づいています。今後のアップデートにより、一部仕様が変更となる可能性がございますことをご了承願います。