Règles de routage du fournisseur d'identité

Les règles de routage du fournisseur d'identité (IdP) vous permettent de rediriger les utilisateurs finaux vers un fournisseur d'identité adapté en fonction de leur localisation, de l'appareil utilisé, du domaine de messagerie, des attributs, ou de l'application à laquelle ils tentent d'accéder.

Cette fonctionnalité est également appelée Découverte de l'IdP, car ces règles de routage permettent à Okta de découvrir quel fournisseur d'identité utiliser en fonction de ce contexte.

Vous pouvez créer une règle pour chacun de vos fournisseurs ou pour différentes combinaisons de critères utilisateur. Lorsqu'un utilisateur tente de se connecter, les règles actives sont évaluées, et la première qui correspond à l'utilisateur s'applique.

Les règles de routage IdP sont utiles dans les scénarios suivants.

  • Sur le réseau vs Hors réseau : vous pouvez conserver une authentification alternative ou existante pour les utilisateurs hors réseau et utiliser Okta pour les utilisateurs du réseau.
  • Utilisateurs mobiles : les utilisateurs mobiles, identifiés par leur appareil, peuvent être redirigés vers un fournisseur d'identité tiers disposant de fonctionnalités spécifiques pour l'authentification.
  • Organisations de réseau en étoile : ces organisations peuvent gérer les utilisateurs, les répertoires Active Directory, les politiques, les applications et les workflows dans l'une des organisations satellites, mais requièrent un accès à l'organisation centrale pour certaines applications, telles que Workday, pour d'autres raisons. Les utilisateurs peuvent s'authentifier à partir d'une application via un flux initié par le fournisseur de services vers l'organisation centrale, qui utilise des règles de routage pour rediriger l'authentification vers l'organisation satellite en toute fluidité. (Si vous avez plus d'une org Okta, vous pouvez utiliser des fournisseurs d'identité distincts pour chaque org afin de séparer des groupes d'utilisateurs.)
  • SSO de bureau : vous pouvez rediriger les utilisateurs d'ordinateurs de bureau vers l'authentification Windows intégrée (IWA) et les utilisateurs mobiles vers Okta pour leur authentification.
  • Organisations de clients multiples : vous pouvez rediriger les utilisateurs de différentes org vers une autre org pour l'authentification, en fonction de leur sous-domaine e-mail.
  • Filtre par attributs utilisateur obligatoires : dans certains scénarios B2B où le domaine d'e-mail n'est pas nécessairement lié au fournisseur d'identité, vous pouvez rediriger l'authentification en fonction des attributs utilisateur.

Expérience de l'utilisateur final

Lorsque les règles de routage IdP sont configurées pour sélectionner un seul fournisseur en fonction du domaine ou des attributs de l'utilisateur final, un écran de connexion différent apparaît, qui accepte la saisie de l'e-mail et des noms abrégés. La connexion est évaluée en tenant compte des critères définis et l'utilisateur est redirigé vers l'écran de connexion adapté pour le fournisseur d'identité souhaité.

Les règles de routage améliorent l'expérience de connexion de l'utilisateur final, mais elles ne renforcent pas la sécurité. Vous devez configurer des politiques de connexion aux applications pour vos IdP, indépendamment de vos règles de routage.

Rubriques liées

Configurer les règles de routage du fournisseur d'identité

Modifier les règles de routage

Fournisseurs d'identité