Configurer les règles de routage du fournisseur d'identité

Configurez des règles de routage pour chacun de vos fournisseurs d'identité (IdP) ou pour différentes combinaisons de critères utilisateur. La règle par défaut indique Okta comme IdP et elle s'applique à tout utilisateur qui ne remplit pas les conditions de vos règles de routage.

Pour créer des règles de routage qui ne sont pas liées à un IdP spécifique, consultez Configurer des règles de routage dynamiques.

Avant de commencer

Avant d'ajouter des règles de routage, vous devez configurer le IWA Web agent Okta et au minimum un IdP supplémentaire (IdPs sociaux acceptés). Consultez Ajouter un IdP SAML 2.0 et OpenID Connect générique.

Si vous souhaitez demander aux utilisateurs leur nom d'utilisateur et leur mot de passe Okta sur la même page que votre liste de fournisseurs d'identité, veuillez configurer votre politique d'authentification Okta de manière à ce que les utilisateurs établissent une session avec un mot de passe / N'importe lequel IdP. Cette combinaison est recommandée pour les règles qui proposent Okta comme IdP ou si vous avez l'intention de prioriser la règle de routage par défaut.

Notez que IdP Discovery sur ChromeBook prend uniquement en charge le IdP Okta et les fournisseurs d'identité tiers qui ont déclaré prendre en charge ChromeBook. Okta Mobile n'est pas pris en charge pour une utilisation avec la détection du IdP.

Si vous souhaitez acheminer les utilisateurs en fonction de leur adresse IP, définissez au moins une zone réseau. Consultez la section Zones réseau.

Ajouter une règle

  1. Dans l'Admin Console, accédez à SécuritéFournisseurs d'identité.

  2. Dans l'onglet Règles de routage, cliquez sur Ajouter une règle de routage.
  3. Saisissez un Nom de la règle.
  4. Configurez les conditions de routage.
    IF L'adresse IP de l'utilisateur estSélectionnez une zone réseau.
    AND La plateforme de l'appareil de l'utilisateur estSélectionnez la combinaison d'appareils mobiles et de bureau de votre choix.

    Les appareils iOS peuvent contourner vos règles de routage iOS. Consulter Configurer une règle de routage pour les appareils macOS.

    AND L'utilisateur accède àPour ajouter une application ou une instance d'application, commencez à saisir le nom de l'application. Une liste de toutes les applications correspondantes s'affiche.
    AND L'utilisateur correspond àSélectionnez les attributs de connexion auxquels l'utilisateur doit correspondre.
    • N'importe quel élément inclut tous les utilisateurs.
    • L'expression régulière lors de la connexion vous permet de saisir une expression régulière valide basée sur la connexion utilisateur à utiliser pour la correspondance. Cette option est utile lorsque le domaine ou un attribut d'utilisateur ne suffit pas pour établir une correspondance. Par exemple, .*\+devtest@company.com correspond aux connexions pour le domaine @company.com, mais seulement si +devtest est inclus avant le signe @.
    • La liste des domaines lors de la connexion établit une liste des domaines pour correspondance (sans le signe @) ; par exemple, mytest.com. Il n'est pas nécessaire d'échapper des caractères (ce qui est obligatoire dans le cadre d'une expression régulière).
    • Attributs utilisateur spécifie un nom d'attribut, un type de comparaison et une valeur avec laquelle une correspondance doit être établie. Si vous choisissez Regex comme type de comparaison, vous devez saisir une expression régulière valide. Par exemple, saisissez (Human Resources|Engineering|Marketing) pour l'attribut Département dans votre schéma utilisateur Okta.
    THEN Utiliser ce IdPSélectionnez l'IdP à utiliser lorsque toutes les conditions sont remplies.
  5. Cliquez sur Créer une règle, puis indiquez si vous souhaitez activer la règle immédiatement.

Configurer une règle de routage pour les appareils macOS

En raison d'un changement dans la façon dont Safari signale les agents utilisateur des appareils, Okta ne peut pas distinguer les demandes d'application qui proviennent d'appareils MacOS de celles qui proviennent de Safari depuis un iPadOS.

Afin d'empêcher le contournement des politiques iOS par un iPadOS, configurez une règle de routage Deny/Catch-All qui s'applique aux appareils macOS et iPadOS. Afin d'éviter que les utilisateurs d'appareils iPadOS ne soient touchés par vos règles de routage pour les applications macOS, informez-les qu'ils doivent suivre l'une des options suivantes.

  • Option 1 : Tous les sites Web consultés via Safari (iPadOS 13 et versions ultérieures). Dans les paramètres de votre iPad, accédez à Paramètres Safari >Demander la version de bureau du site Web, puis désactivez la paramètre Tous les sites Web.
  • Option 2 : Pour chaque site Web. Ouvrez Safari, saisissez Aa à gauche de la barre de recherche, puis saissezDemander la version mobile du site Web.
  • Option 3 : accédez à l'application cible via l'application native ou Okta Mobile.

Rubriques liées

Règles de routage du fournisseur d'identité

Modifier les règles de routage

Fournisseurs d'identité

Configurer des règles de routage dynamiques