企業によっては1つIdentity Provider側から複数のAdaptiveテナントにSSO接続を設定したい場合がある。ProductionとSandbox等。
Adaptiveではユーザーネームが全てのAdaptive Instance系の中でユニークにならなければいけないという制限があるため、ProductionとSandboxで同一ユーザーネームを使う事は不可能。上記のような要件を達成したい場合、Adaptive側のユーザーネームでマッチング参照するのではなく、個別に設定したFederationIDというユニークIDを使うようにする。
目標
単一のIdentity Providerこの場合はOKTAから複数Adaptive InstanceへのSSOを可能にする。
Adaptive側の設定
基本的な設定はUser nameで認証した時と変わらない。SAML user idを”User’s federation id”にチェックをいれる。
User設定側で認証させたいユーザーネーム(OKTA側と認証させたいID)をSAML Federation IDの欄に入力(eg: OKTA側でのユーザーネームがadmin@yuki.nzだった場合、SAML Federation IDの欄にadmin@yuki.nzを入力)。
OKTA側の設定
基本設定は前回のユーザーネームで設定した時と同じ。NameID FormatはAdaptiveで選んだ項目と一致させる(この場合はUnspecified)。
テスト
複数のAdaptiveタイルをクリックして別々のインスタンスに接続が確認出来れば成功。