> ## Documentation Index
> Fetch the complete documentation index at: https://docs.base44.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Okta の SSO を設定する

> Okta の資格情報でチームが Base44 エンタープライズワークスペースにサインインできるようにします。

Okta を使うと、チームは既存の Okta 資格情報で Base44 エンタープライズワークスペースにサインインできます。Okta で OIDC アプリケーションを作成し、Base44 での使用を許可し、その詳細をワークスペースに追加します。メンバーの追加と更新を自動化するには、[Okta の SCIM プロビジョニング](/Enterprise/Okta-SCIM) を別途設定してください。

<Warning>
  ワークスペースのシングルサインオンはエンタープライズワークスペースでのみ利用できます。このオプションが表示されない場合、Base44 のアカウントチームまでお問い合わせください。
</Warning>

***

## 始める前に

以下があることを確認してください:

* Base44 エンタープライズワークスペースのオーナーまたは管理者アクセス権
* Okta 組織の管理者アクセス権
* **ワークスペース ID** (エンタープライズワークスペース URL の `/workspace/` 以降の文字列)
* **Okta ドメイン** (`.okta.com` の前の部分、例: `your-company`)

***

## シングルサインオンを設定する

Okta で OIDC アプリケーションを作成し、Base44 での使用を許可し、その詳細をワークスペースに追加します。

### ステップ 1: OIDC アプリを作成する

Base44 サインインを表す OIDC アプリケーションを作成します。

**アプリを作成するには:**

1. Okta Admin Console で **Applications** > **Applications** に移動し、**Create App Integration** をクリックします。
2. **Sign-in method** を **OIDC - OpenID Connect** に設定します。
3. **Application type** を **Web Application** に設定します。
4. **Next** をクリックします。

<Frame caption="Okta で OIDC アプリ統合を作成する">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta1.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=cae204f1199c671d22d0a00287a29b19" alt="Okta Create a new app integration dialog with OIDC and Web Application selected" width="1137" height="859" data-path="images/SSOOkta1.png" />
</Frame>

### ステップ 2: アプリを構成する

アプリ名、リダイレクト URI、利用者を設定します。

**アプリを構成するには:**

1. **App name** を入力します (例: `Base44 - your workspace name`)。
2. **Sign-in redirect URIs** に、ワークスペースコールバック URL を追加します。`{{WORKSPACE_ID}}` をワークスペース ID に置き換えます: `https://app.base44.com/api/workspaces/{{WORKSPACE_ID}}/auth/sso/callback`
3. **Sign-out redirect URIs** に `https://app.base44.com` を追加します。
4. **Controlled access** で、アプリを使用できるユーザーを選択します (例: **Allow everyone in your organization to access**)。
5. **Save** をクリックします。

<Frame caption="Okta でサインインおよびサインアウトのリダイレクト URI を設定する">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta2.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=1ed1a3069119d41f302243ee0a3bbfae" alt="Okta application sign-in and sign-out redirect URI settings" width="1266" height="441" data-path="images/SSOOkta2.png" />
</Frame>

### ステップ 3: 資格情報を取得する

アプリの **General** タブから以下をコピーします:

* **Client ID**
* **Client Secret**
* **Okta ドメイン** (サブドメインのみ。例: `your-company.okta.com` ではなく `your-company`)

### ステップ 4: 認可サーバーで Base44 を許可する

Okta は、認可サーバーポリシーで許可されたアプリにのみトークンを発行します。

**アクセスポリシールールを追加するには:**

1. **Security** > **API** > **Authorization Servers** に移動し、**default** サーバーを開きます。
2. **Access Policies** タブで **Add Rule** をクリックするか、既存のルールを編集します。
3. ルールに名前 (例: `Allow Base44`) を付け、付与タイプを **Authorization Code** に設定し、Base44 アプリ (またはすべてのクライアント)、すべてのユーザー、任意のスコープに適用します。
4. **Create Rule** をクリックします。

<Note>
  Okta の Base44 アプリの **General** タブで、**Federation Broker Mode** をオフにします。オンにすると、サインイン時に "You are not allowed to access this app." で失敗することがあります。
</Note>

### ステップ 5: Base44 に詳細を追加する

OIDC アプリ資格情報をワークスペースに追加します。

**Base44 で SSO を設定するには:**

1. アカウント左上のワークスペース名をクリックします。
2. **Settings** をクリックします。
3. **Auth and security** をクリックします。
4. **Single Sign-On Configuration** の横のトグルを有効にします。
5. **Select SSO Provider** で **Okta** を選択します。
6. **Client ID**、**Client Secret**、**Okta Domain** (サブドメインのみ) を入力します。
7. **Scope** は `openid email profile` のままにします。
8. **Discovery URL** は Okta ドメインから自動入力されます。
9. **Enable SSO** をクリックします。

<Frame caption="Base44 ワークスペースの Okta SSO 設定">
  <img src="https://mintcdn.com/base44/oUaRpzSyJvMVshj9/images/SSOOkta4.png?fit=max&auto=format&n=oUaRpzSyJvMVshj9&q=85&s=f68bd5a8d3b1c57b8f8bd1f7581c0a61" alt="Base44 Auth and security panel configured with Okta as the SSO provider" width="950" height="473" data-path="images/SSOOkta4.png" />
</Frame>

<Warning>
  自動生成された Discovery URL は、デフォルトの `.okta.com` ドメインを使う標準的な Okta 組織にのみ正しく動作します。以下のいずれかに該当する場合、デフォルトでは正しくなく、サインインが失敗します。代わりに **Advanced / Manual configuration** で Okta を設定し、Discovery URL を手動で入力してください:

  * **`/oauth2/default` Discovery URL を使う:** Base44 を Okta 認可サーバーに向け、`email` クレームが返るようにします: `https://your-domain.okta.com/oauth2/default/.well-known/openid-configuration`。組織にカスタム認可サーバーがない場合、このアドレスは 404 を返します。その場合は `https://your-domain.okta.com/.well-known/openid-configuration` を使い、Okta アプリのプロファイルで `email` クレームをマッピングします。
  * **カスタム Okta ドメイン:** チームがカスタムブランドのドメイン (例: `login.your-company.com`) 経由でサインインする場合、デフォルトの `your-company.okta.com` ではなく、そのドメインを Discovery URL で使ってください。Okta は人がサインインするドメインからトークンを発行するので、不一致だと発行者 (`iss`) 検証が失敗してサインインが機能しません。
</Warning>

### ステップ 6: ユーザーを割り当てる

Okta アプリに割り当てられたユーザーはサインインできるようになります。

**ユーザーを割り当てるには:**

1. Okta アプリで **Assignments** タブに移動します。
2. **Assign** をクリックし、**Assign to People** または **Assign to Groups** をクリックします。
3. サインインできるようにするユーザーまたはグループを選択し、**Assign**、**Save and Go Back** の順にクリックします。

<Tip>
  手動で割り当てる代わりにメンバーの追加と更新を自動化するには、[Okta の SCIM プロビジョニング](/Enterprise/Okta-SCIM) を設定してください。
</Tip>

***

## FAQ

Okta SSO について詳しくは、以下の質問を選択してください。

<AccordionGroup>
  <Accordion title="サインインが 'You are not allowed to access this app' で失敗する">
    デフォルト認可サーバーにアクセスポリシールールを追加 (ステップ 4) し、アプリの **General** タブで **Federation Broker Mode** をオフにし、ユーザーがアプリに割り当てられていることを確認してください。
  </Accordion>

  <Accordion title="メールエラーでサインインが失敗する">
    Okta のデフォルト認可サーバーは常に `email` クレームを返すとは限りません。**Advanced / Manual configuration** で Okta を設定し、`/oauth2/default` Discovery URL を使ってメールが返されるようにしてください。ステップ 5 のノートを参照してください。
  </Accordion>

  <Accordion title="SSO と SCIM に別々の Okta アプリが必要ですか?">
    はい。Okta の OIDC アプリは SCIM に対応していないため、SSO は OIDC アプリを使い、SCIM は別の SCIM 2.0 アプリを使います。[Okta の SCIM プロビジョニング](/Enterprise/Okta-SCIM) を参照してください。
  </Accordion>
</AccordionGroup>

<Note>このページは AI を使用して翻訳されました。最も正確で最新の情報については、[英語版](/) を参照してください。 </Note>
