はじめに
NTT西日本の近藤です。
本記事では、Cloudflare が提供する Cloudflare One(Cloudflare Zero Trust) において、
Identity Provider(以下、IdP。ユーザー認証を担う外部認証基盤)として Okta を OpenID Connect(OIDC)で連携する方法 を紹介します。
Cloudflare One は、ゼロトラストの考え方を前提としたプラットフォームであり、
ユーザー認証を Cloudflare 側で実施するのではなく、
外部 IdP によって認証された結果をもとにアクセス制御を行う構成 が基本となります。
そのため、IdP 連携は Cloudflare One を利用する上で重要な初期設定の一つです。
なお、本記事で扱う IdP(Identity Provider) とは、
ユーザーが「本人であること」を確認する役割を担う外部認証基盤を指します。
ID・パスワード認証や MFA(多要素認証)などは IdP 側で実施され、
Cloudflare One は「認証結果」を受け取ってアクセス可否を判断します。
本記事では、
- Okta 側で Cloudflare One 連携用アプリケーションを追加する流れ
- Cloudflare One 側で Okta を IdP として設定する流れ
- 各設定画面で「何をしているのか」「どの値が必要なのか」
を、実際の管理画面スクリーンショットに沿って 解説します。
なお、本記事では OIDC を用いた連携構成 を対象とし、
SAML との機能比較や詳細な方式選定は行いません。
あくまで「Cloudflare One の管理画面上で何を設定しているのかを理解する」ことを目的としています。
本記事は 2026 年 4 月時点の情報 に基づいています。
対象読者
本記事が想定する対象読者は以下の通りです。
- Cloudflare One(Cloudflare Zero Trust)を検証・導入している方
- Okta を IdP として既に利用している、または検討している方
- ゼロトラスト環境における IdP 連携の具体的な設定イメージを把握したい方
目次
- はじめに
- 対象読者
- 目次
- 1. 背景・目的
- 2. Cloudflare One における IdP 連携の考え方
- 3. Okta 側の設定
- 4. Cloudflare One 側の設定
- 5. 認証動作の確認
- 6. SSO設定後のユーザーエクスペリエンス
- 7. 技術的な補足
- 8. まとめ
- 参考資料・出典
- 商標
- 免責事項
1. 背景・目的
Cloudflare One におけるアクセス制御は、「ネットワークの内外」ではなく
ユーザーのアイデンティティを起点に制御する ことを前提としています。
Cloudflare One 自体はユーザー認証を行わず、
外部 IdP(Okta など)によって認証された結果をもとにアクセス可否を判断します。
Okta と Cloudflare One の連携方式には OIDC と SAML がありますが、
Cloudflare One の管理画面では OIDC がデフォルトとなっており、
設定項目も比較的シンプルです。
Cloudflare One の管理画面は OIDC を前提とした構成になっており、 まずは OIDC を対象に設定内容を追うことで、 各項目がどの役割を持っているのかを理解しやすくなります。
本記事では、OIDC を用いた Okta × Cloudflare One 連携 を対象に、
管理画面での設定内容を整理することを目的としています。
2. Cloudflare One における IdP 連携の考え方
Cloudflare Oneにおける認証の役割分担は次の通りです。
- Cloudflare One:
アプリケーションへのアクセス要求を受け付け、認証を要求する - Okta(IdP):
ユーザー認証(ID・パスワード・MFA など)を実施する - Cloudflare One:
認証結果を基にアクセスポリシーを評価し、許可または拒否
この構成により、
- 認証ポリシーは IdP 側に集約
- Cloudflare 側はアクセス制御に専念
という疎結合な設計が実現されます。
IdP 側で MFA の追加や条件変更を行っても、 Cloudflare One 側の設定を変更せずに挙動を反映できる点は、 ゼロトラスト設計における重要な考え方です。
3. Okta 側の設定
ここからは、Okta 管理コンソールでの設定を順に確認します。
3.1 アプリケーション一覧の表示
Okta 管理コンソールで Applications を開きます。
この画面では、既存のアプリケーションと新規追加が行えます。
3.2 App Integration Catalog の検索
「Browse App Catalog」を選択し、検索欄に cloudflare と入力します。
検索結果から Cloudflare One を選択します。
3.3 Cloudflare One 連携アプリの詳細表示
Cloudflare One のアプリ詳細画面が表示されます。
ここでは、
- 対応しているシングルサインオン方式
- アプリケーションの概要
が確認できます。OIDC に対応していることが分かります。
3.4 Cloudflare One アプリケーションの追加
「Add Integration」を選択します。
これにより、Okta テナント内に Cloudflare One 用のアプリケーションが作成されます。
3.5 一般設定(General Settings)
アプリケーションの基本設定画面が表示されます。
この画面では、以下を設定します。
- Application label:
Okta 管理画面やユーザー画面に表示されるアプリ名 - Team Domain:
Cloudflare One 側のチームドメイン
Team Domain は、 「この Okta アプリがどの Cloudflare One 環境向けの認証か」を Okta 側が識別するための情報です。 値が一致していない場合、後続の認証フローが正しく動作しません。
入力後、「Done」を選択します。
3.6 ユーザー/グループの割り当て
作成した Cloudflare One アプリケーションに対して、
認証を許可するユーザーやグループを割り当てます。
Okta では、アプリケーションごとに 「どのユーザーがサインイン可能か」を明示的に管理します。 ユーザーやグループを割り当てていない場合、 設定が正しくても認証は失敗します。
3.6.1 ユーザーへの割り当て
「Assign」→「Assign to People」を選択します。
対象ユーザーを選択し、「Assign」を押下します。
3.7 Sign On 設定(OIDC)
次に、「Sign On」タブを開きます。
ここで確認できる Client ID と Client Secret は、
後ほど Cloudflare One 側の設定で使用します。
これらはユーザーの ID やパスワードではなく、 Cloudflare One が 「正規に登録されたアプリケーションである」ことを Okta に示すための識別情報です。
4. Cloudflare One 側の設定
続いて、Cloudflare One 側の設定を行います。
4.1 Cloudflare One ダッシュボード
Cloudflare ダッシュボードから Cloudflare One を開きます。
4.2 Identity Provider の一覧
左メニューから以下を選択します。
- Integrations
- Identity providers
初期状態では、One-time PIN のみが表示されている場合があります。
4.3 IdP の追加
「Add an identity provider」を選択します。
IdP の一覧から Okta を選択します。
4.4 Okta 連携設定画面
Okta の設定画面が表示されます。
ブログ掲載用のスクリーンショットでは入力値を黒塗りしています。
ここでは各項目の意味を整理します。
| 項目 | 内容 |
|---|---|
| Name | Cloudflare One のログイン画面に表示される IdP 名 |
| App ID | Okta 側で発行された Client ID |
| Client secret | Okta 側で発行された Client Secret |
| Okta account URL | Okta テナントの URL |
この URL は、 Cloudflare One が認証リクエストを送信する先の Okta テナントを識別するための情報です。 本番・検証環境を使い分けている場合は特に注意が必要です。
5. 認証動作の確認
設定後、Cloudflare One のテスト画面を開きます。
「Your connection works!」と表示されていれば、
Okta と Cloudflare One の OIDC 連携は正常に動作しています。
Cloudflare One が Okta から ユーザー情報を OIDC(JWT)として 正しく取得できていることを示しています。
6. SSO設定後のユーザーエクスペリエンス
SSOの設定が完了した後、実際にユーザーがアプリケーションへアクセスする際のログインフローは以下のようになります。
1 Cloudflare Oneのログイン画面 ユーザーがCloudflare Oneアプリケーションにアクセス(今回はWARPにアクセス)すると、認証画面が表示されます。ここで設定したIdP(Okta)でのログインを選択し、ボタンをクリックします。
2 Oktaへリダイレクトと認証実施 ボタンをクリックすると、Oktaのログイン画面に自動的にリダイレクトされます。ユーザーはここでOktaのID・パスワードの入力や、MFA(多要素認証)などの認証プロセスを実施します。
3 RP側に戻されてログイン完了 Oktaでの認証が成功すると、再びCloudflare One側にリダイレクトされます。認証情報が正しく評価され、目的のアプリケーションへのアクセスが可能になります。
7. 技術的な補足
本構成は RP Initiated OIDC のフローを採用しています。
- 認証の開始点は Cloudflare One
- Okta が認証結果を JWT として返却
- Cloudflare Oneがアクセスポリシーを評価
IdP 側の認証ポリシーを変更しても、 Cloudflare One 側の設定を変更せずに反映できる点は、 ゼロトラスト構成における大きなメリットです。
8. まとめ
本記事では、Cloudflare One において
IdP として Okta を OIDC で連携する設定内容 を、
実際の管理画面スクリーンショットに沿って紹介しました。
Cloudflare One 導入時の IdP 設定を検討する際の
参考情報として活用いただければ幸いです。
執筆者
近藤 隆太
(NTT西日本 エンタープライズビジネス営業部
N&S部門 N&S推進担当(福岡))
九州・沖縄エリアのクラウド・セキュリティ案件推進に携わっています。
- AWS Community Builder (AI Engineering)
- 2025 Japan AWS Top Engineers (Services)
- 2024 Japan AWS Jr. Champions
参考資料・出典
- Cloudflare One ドキュメント
https://developers.cloudflare.com/cloudflare-one/ - Okta OpenID Connect 概要
https://developer.okta.com/docs/concepts/oauth-openid/
商標
- 「Cloudflare」「Cloudflare One」は、Cloudflare, Inc. の商標または登録商標です。
- 「Okta」は、Okta, Inc. の商標または登録商標です。
免責事項
本記事は情報提供を目的としたものであり、
記載内容の正確性、完全性、将来的な動作を保証するものではありません。
