Transmettre le contexte d'authentification dynamique

Vous pouvez transmettre le contexte d'authentification dynamique à vos applications SAML par le biais de l'assertion SAML pendant l'authentification de l'application. L’application peut alors utiliser ces informations pour limiter l’accès à certains comportements spécifiques à l’application et calculer le profil de risque de l’utilisateur connecté.

Cette fonctionnalité s’exécute sur les intégrations d’applications SAML personnalisées ou provenant d’OIN. Elle est accessible via une demande exprimée en Okta Expression Language et vous pouvez la configurer comme un attribut SAML personnalisé. En fonction du nombre de facteurs utilisés lors de l’authentification, l’attribut peut générer une ou plusieurs valeurs dans l’assertion (reportez-vous à Exemples d’assertions).

Les développeurs peuvent également utiliser l’API des apps Okta pour configurer l’attribut personnalisé. Le processus de transmission des contextes d’authentification est similaire à l’utilisation des déclarations contenant des références de méthode d’authentification (amr) dans les applications OIDC.

Activer les références de méthode d’authentification dynamique

Si vous ne l'avez pas encore fait, créez une intégration d'application personnalisée ou ajoutez une intégration d'application OIN via Okta Admin Console.
- Pour créer une intégration d'app SAML personnalisée, consultez Créer une intégration d'app SAML à l'aide de l'assistant d'intégration d'applications.
- Pour ajouter une intégration d'application OIN, consultez Ajouter des intégrations d'application existantes. Votre application externe doit prendre en charge SAML.
Ajoutez une instruction d'attribut à l'intégration d'app (pour plus de détails, consultez Définir les instructions d'attributs) :
Vous pouvez ajouter l'instruction lors de la création d'une nouvelle intégration d'application ou modifier une intégration d'application existante.
Pour une nouvelle intégration d’applications :

Dans Étape 2 : Configurer SAML, faites défiler jusqu’à la section Déclarations d’attributs (facultatif).

Pour une intégration d’applications existante :

Cette procédure varie selon que vous modifiez une intégration d'application personnalisée ou une intégration d'application OIN.

Si vous modifiez une intégration d'application personnalisée :
1. Dans l'Admin Console, accédez à Applications > Applications.
2. Cliquez sur l'application SAML personnalisée.
3. Allez dans l’onglet Général, faites défiler jusqu’à la section Paramètres SAML, puis cliquez sur Modifier.
4. Cliquez sur Suivant.
5. Faites défiler jusqu’à la section Déclarations d’attributs (facultatif).
Si vous modifiez une intégration d'application OIN :
1. Dans l'Admin Console, accédez à Applications > Applications.
2. Cliquez sur l'intégration d'application OIN SAML.
3. Accédez à l’onglet Authentification, puis cliquez sur Modifier.
4. Faites défiler jusqu’à la section Déclarations d’attributs (facultatif).
Dans Nom, saisissez un nom pour l’attribut que vous souhaitez ajouter.
La longueur maximale de ce champ est de 512 caractères. L’attribut Name doit être unique pour toutes les déclarations d’attributs d’utilisateur et de groupe.
Dans Format de nom, sélectionnez Non spécifié.
Dans Valeur, saisissez session.amr.
Cliquez sur Suivant.
Cliquez sur Terminer.

Exemples d'assertions

Les extraits d’assertion suivants présentent des exemples d’attributs de contexte d’authentification à valeur unique et à valeur multiple pour l’instruction d’attributs amr.

Lorsque seul un mot de passe est utilisé :

<saml:Attribute Name="amr" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
    <saml:AttributeValue xsi:type="xs:string">pwd</saml:AttributeValue
</saml:Attribute>

Lorsqu'un mot de passe est utilisé avec Okta Verify comme second facteur :

<saml:Attribute Name="amr" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
    <saml:AttributeValue xsi:type="xs:string">pwd</saml:AttributeValue>
    <saml:AttributeValue xsi:type="xs:string">mfa</saml:AttributeValue>
    <saml:AttributeValue xsi:type="xs:string">swk</saml:AttributeValue>
</saml:Attribute>

Remarque :

Actuellement, Okta ne prend en charge que le contexte d’authentification SAML dynamique et la carte intelligente pour l’authentification principale du fournisseur d’identité (IdP). Par exemple, si vous utilisez un fournisseur d’identité fédéré pour vous connecter à votre application et que vous utilisez la fonctionnalité SAML dynamique, l’assertion ne contient que pwd comme valeur par défaut. De même, si vous utilisez une carte intelligente, l’assertion ne contient que sc comme valeur par défaut.

Rubriques connexes

Créer une intégration SAML à l'aide de l'assistant d'intégration d'applications

Ajouter des intégrations d'application existantes

Utiliser l'assistant d'intégration d'application

Langage d’expression