Transmettre le contexte de l'appareil via l'accès limité
L’accès limité vous permet de configurer Okta pour qu’il transmette le contexte de l’appareil à certaines applications SAML par le biais de l’assertion SAML échangée pendant l’authentification. Les applications peuvent ensuite utiliser ces informations pour limiter l’accès à certains comportements spécifiques à l’application, tels que les permissions de modifier l’application ou de télécharger des fichiers depuis l’application.
Si votre org utilise Classic Engine, consultez cette rubrique.
Cette fonctionnalité s’exécute avec :
- les appareils Windows, macOS, iOS et Android
- Intégrations d’applications SAML personnalisées et OIN capables d’utiliser l’attribut de contexte de l’appareil.
Conditions préalables
Dans la Okta Admin Console
- Activez Device Trust dans Okta Admin Console ()
- Configurer une politique authentification Device Trust pour l'intégration d'application (onglet Authentification de l'application)
Pour en savoir plus, consultez les solutions Okta Device Trust pour votre implémentation.
Dans l’application externe
Configurez l’application externe pour consommer le contexte de l’appareil reçu dans l’assertion SAML et spécifiez les comportements que vous souhaitez contrôler en fonction de ce contexte.
Valeurs d’attribut prises en charge
Lorsque cette fonctionnalité est configurée, Okta transmet l’une des valeurs d’attribut suivantes à l’application externe dans l’assertion SAML, en fonction de la déclaration d’attributs et de la stratégie d’authentification d’intégration d’applications que vous avez configurée dans Okta.
|
Valeur de l’attribut |
Définition |
|---|---|
| TRUSTED | L'appareil de l'utilisateur est de confiance, tel que défini par la politique d'authentification d'applications Okta. |
| NOT_TRUSTED | L'appareil de l'utilisateur n'est pas de confiance, tel que défini par la politique d'authentification d'applications Okta. |
| INCONNU |
Le contexte de l'appareil est inconnu, car une ou deux situations parmi les suivantes sont vraies :
|
- La valeur de l'attribut transmise à l'application externe est appliquée pendant toute la durée de la session.
- Vous pouvez utiliser le langage d’expression Okta pour mapper la terminologie Okta à la terminologie spécifique à l’ISV.
Procédure
- Remplissez les conditions préalables.
- Si vous ne l'avez pas encore fait, créez une intégration d'application personnalisée ou ajoutez une intégration d'application OIN via Okta Admin Console.
- Pour créer une intégration d'application SAML personnalisée, consultez Créer des intégrations d'application SAML.
- Pour ajouter une intégration d'application OIN, consultez Ajouter des intégrations d'application existantes. Votre application externe doit prendre en charge SAML.
- Ajoutez une instruction d'attribut à l'intégration d'application (pour plus de détails, consultez Définir les instructions d'attributs de groupe) :
Vous pouvez ajouter l'instruction lors de la création d'une nouvelle intégration d'application ou modifier une intégration d'application existante.
Pour une nouvelle intégration d’applications :
Dans Étape 2 : Configurer SAML, faites défiler jusqu’à la section Déclarations d’attributs (facultatif).
Pour une intégration d’applications existante :
Cette procédure varie selon que vous modifiez une intégration d’applications personnalisée ou une intégration d’applications OIN.
Si vous modifiez une intégration d'application personnalisée :
Dans Admin Console, accédez à .
- Cliquez sur l'application SAML personnalisée.
- Allez dans l’onglet Général, faites défiler jusqu’à la section Paramètres SAML, puis cliquez sur Modifier.
- Cliquez sur Suivant.
- Faites défiler jusqu’à la section Déclarations d’attributs (facultatif).
Si vous modifiez une intégration d'application OIN :
Dans Admin Console, accédez à .
- Cliquez sur l'intégration d'application OIN SAML.
- Accédez à l’onglet Authentification, puis cliquez sur Modifier.
- Faites défiler jusqu’à la section Déclarations d’attributs (facultatif).
- Dans Nom, saisissez un nom pour l’attribut que vous souhaitez ajouter.
La longueur maximale de ce champ est de 512 caractères. L’attribut Name doit être unique pour toutes les déclarations d’attributs d’utilisateur et de groupe.
- Dans Format de nom, sélectionnez Non spécifié.
- Dans Valeur, sélectionnez device.trusted.
La longueur maximale de ce champ est de 1 024 caractères.
Vous pouvez utiliser le langage d’expression Okta pour transformer la valeur selon les besoins de votre cas d’utilisation.
Par exemple, pour mapper les termes Okta d’un contexte d’approbation d’appareil à des termes Salesforce pertinents, vous devez saisir cette déclaration dans le champ Valeur :
device.trusted == "TRUSTED" ? "HIGH ASSURANCE" : "STANDARD"L'énoncé ci-dessus transforme les termes comme suit :
Attribut de contexte d'appareil Okta
Terme Salesforce
TRUSTED HIGH ASSURANCE NOT_TRUSTED STANDARD UNKNOWN STANDARD - Pour ajouter une ligne de déclarations supplémentaire, cliquez sur Ajouter un autre. Répétez l’opération jusqu’à ce que tous les attributs obligatoires soient définis.
- Cliquez sur Suivant.
- Cliquez sur Terminer lorsque vous avez fini.
Détails de la déclaration d’attributs
Voici une instruction d'attributs envoyée à une application externe via l'assertion SAML qui montre le contexte d'un appareil non approuvé :
<?xml version="1.0"?> <saml2:AttributeStatement xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"> <saml2:Attribute Name="DeviceTrustSignal" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string"> NOT_TRUSTED </saml2:AttributeValue> </saml2:Attribute> </saml2:AttributeStatement>Rubriques liées
Créer des intégrations d'application SAML
Ajouter les intégrations d'application existantes