Configurer des règles de routage dynamiques

Les règles de routage dynamiques fonctionnent comme les règles de routage standards, à ceci près qu'elles ne sont pas liées à des fournisseurs d'identité (IdP) spécifiques. Elles utilisent le langage d'expression pour faire correspondre les utilisateurs à un IdP en fonction des attributs de leur objet de connexion.

Lorsqu'un utilisateur se connecte, une règle est évaluée à la fois jusqu'à ce qu'il y ait une correspondance. Évaluer des centaines de règles peut ralentir l'expérience de connexion des utilisateurs. Avec les règles de routage dynamiques, vous n'avez pas besoin d'une règle distincte pour chaque IdP. Vous pouvez consolider plusieurs règles ayant les mêmes conditions au sein d'une seule règle de routage dynamique.

Avant de commencer

Le cas d'utilisation le plus courant est un routage dynamique vers un IdP par domaine. Pour ce faire, ajoutez au moins un IdP, et assurez-vous que son nom corresponde au domaine. Par exemple, si vous souhaitez que les utilisateurs disposant d'une adresse e-mail au format nom.utilisateur@votreorg.com soient acheminés vers le même IdP, nommez l'IdP votreorg.com.

Si vous souhaitez acheminer les utilisateurs en fonction de leur adresse IP, définissez au moins une zone réseau. Consultez la section Zones réseau.

Ajouter une règle

  1. Dans l'Admin Console, accédez à SécuritéFournisseurs d'identité.

  2. Dans l'onglet Règles de routage, cliquez sur Ajouter une règle de routage.
  3. Dans le champ Nom de la règle, saisissez un nom de règle. Choisissez un nom qui identifie cette règle comme dynamique.
  4. Configurez les conditions de routage.
    IF L'adresse IP de l'utilisateur estSélectionnez des zones réseau. Vous pouvez trier par zones définies ou non définies dans Okta, ou configurer des zones spécifiques.
    AND La plateforme de l'appareil de l'utilisateur estSélectionnez la combinaison d'appareils mobiles et de bureau de votre choix. Remarque : les appareils iOS peuvent contourner vos règles de routage iOS. Consultez la section Configurer une règle de routage pour les appareils macOS.
    AND L'utilisateur accède àSaisissez le nom d'une application ou d'une instance d'application.
    AND L'utilisateur correspond àSélectionnez les attributs de connexion auxquels l'utilisateur doit correspondre.
    • N'importe quel élément inclut tous les utilisateurs.
    • L'expression régulière lors de la connexion vous permet de saisir une expression régulière valide basée sur la connexion utilisateur à utiliser pour la correspondance. Cette option est utile lorsque le domaine ou un attribut d'utilisateur ne suffit pas pour établir une correspondance. Par exemple, .*\+devtest@company.com correspond aux connexions pour le domaine @company.com, mais seulement si +devtest est inclus avant le signe @.
    • La liste des domaines lors de la connexion établit une liste des domaines pour correspondance (sans le signe @) ; par exemple, mytest.com. Il n'est pas nécessaire d'échapper des caractères (ce qui est obligatoire dans le cadre d'une expression régulière).
    • Attributs utilisateur spécifie un nom d'attribut, un type de comparaison et une valeur avec laquelle une correspondance doit être établie. Si vous choisissez Regex comme type de comparaison, vous devez saisir une expression régulière valide comme valeur. Par exemple, (Human Resources|Engineering|Marketing) pour l'attribut Département dans votre schéma utilisateur Okta.
    THEN Utiliser ce IdPSélectionnez Correspondance dynamique avec un IdP.
    Faire correspondre le nom d'IdP àSélectionnez la chaîne par défaut ou saisissez votre propre expression personnalisée. La chaîne par défaut login.identifier.substringAfter('@)) établit automatiquement une correspondance avec le nom de domaine dans l'adresse e-mail d'un utilisateur (tout ce qui vient après le signe @).
  5. Cliquez sur Créer une règle, puis indiquez si vous souhaitez activer la règle immédiatement.

Tester une règle dynamique

Votre nouvelle règle est automatiquement classée après les autres règles de routage (mais avant la règle collectrice par défaut). Si votre nouvelle règle de routage dynamique remplace des règles standard, testez-la en désactivant ces règles standard et en vous connectant avec un nom d'utilisateur valide. Ne supprimez aucune règle avant d'avoir vérifié que la règle dynamique fonctionne bien.

Rubriques liées

Règles de routage du fournisseur d'identité

Fournisseurs d'identité