NGINX PlusとOktaの認証連携

NGINX PlusはOktaと連携して認証プロキシができるか？と問い合わせをいただきましたので動作確認をしてみました

• NGINX Plus 1インスタンス（プロキシサーバー）
• NGINX 1インスタンス（アプリケーションサーバー、※構築済み）
• Oktaのフリートライアル環境

• Oktaで登録したユーザーでNGINX Plusがプロキシしたアプリケーションにログインできること

• F5社のページを参考に検証を実施

• AWSのEC2でインスタンスをデプロイする

• EC2インスタンスでデプロイしたサーバーにNGINX Plusをインストールする  （こちらのページをご参照ください）

• NJSモジュールをインストールする

$ sudo apt install nginx-plus-module-njs

• /etc/nginx/nginx.conf に NJSモジュールをロードするように以下を追記

load_module modules/ngx_http_js_module.so;

• Okta社より送付されているメールに記載されているURLから、フリートライアル環境にブラウザでアクセスを実施

• ユーザー名の横にある [管理者] ボタンを選択し、管理コンソールにアクセスを実施

• 管理コンソールの画面左側にあるApplications > Applicationsを選択  

• Create App Integrationを選択

• 各項目を以下のように選択および、入力しSaveボタンで設定保存を実施

  

• 作成したApplication情報からClient IDとCLIENT SECRETSの値を取得し、控えておく

• NGINX OpenID ConnectをGithubからダウンロード

$ sudo git clone https://github.com/nginxinc/nginx-openid-connect.git

•  Githubからダウンロードした以下の4ファイルを /etc/nginx/conf.d 配下に移動する

frontend.conf
openid_connect.js
openid_connect.server_conf
openid_connect_configuration.conf

• curlコマンドでOkta構成から認証エンドポイント、トークンエンドポイント、JSON Web キー (JWK) ファイルの URL を取得

※jqコマンドをインストールされていない場合はインストールする必要があります

$ curl https://trial-xxxxxxx.okta.com/.well-known/openid-configuration  | jq

• 取得した値、及び変更が必要な箇所を/etc/nginx/conf.d/openid_connect_configuration.conf ファイルに加筆・変更を実施

• /etc/nginx/conf.d/frontend.conf にて変更を実施する

下記のディレクティブをコメントアウト、または削除する

auth_jwt_key_file $oidc_jwt_keyfile; # Enable when using filename

•  アプリケーションサーバーへアクセスを実施

• ログインに成功した後にアプリケーションサーバーがコンテンツを返すことを確認