Pass Dynamic Authentication Context

アプリケーション認証中にSAMLアサーションを通じて動的認証コンテキストをSAMLアプリに渡すことができます。アプリでは、この情報を使用して、特定のアプリ固有の動作へのアクセスを制限することや、ログインしているユーザーのリスク・プロファイルを計算することができます。

この機能は、カスタムおよびOINソース両方のSAMLアプリ統合で機能します。これは、Okta式言語クレームを介して公開され、カスタムSAML属性として構成できます。認証中に使用される要素の数に応じて、この属性でアサーションに1つまたは複数の値を生成できます(「アサーションの例」を参照)。

開発者は、Okta Apps APIを使用してカスタム属性を構成することもできます。認証コンテキストを渡すプロセスは、OIDCアプリで認証方法参照amr)を含むクレームを使用する場合と似ています。

動的認証方法参照を有効にする

  1. まだ行っていない場合は、Okta管理コンソールからカスタム・アプリ統合を作成するか、OINアプリ統合を追加します。
  2. 属性ステートメントをアプリ統合に追加します(詳細については、属性ステートメントを定義するを参照してください)。

    新しいアプリ統合の作成中、または既存のアプリ統合の編集としてステートメントを追加できます。

  3. アプリ統合を作成する場合:

    手順2:SAMLを構成する[属性ステートメント(オプション)]セクションまでスクロールします。

    –または–

    既存のアプリ統合を編集するには:

    カスタム・アプリ統合とOINアプリ統合のどちらを編集するかによって手順が異なります。

    カスタム・アプリ統合を編集する場合:

    1. [Okta管理コンソール]で、[アプリケーション]>[アプリケーション]に移動します。
    2. カスタムSAMLアプリをクリックします。
    3. [一般]タブに移動し、[SAMLの設定]セクションまでスクロールして、[編集]をクリックします。
    4. [次へ]をクリックします。
    5. [属性ステートメント(オプション)]セクションまでスクロールします。
    6. 以下の手順4に進みます。

    OINアプリを編集する場合

    1. [Okta管理コンソール]で、[アプリケーション]>[アプリケーション]に移動します。
    2. OIN SAMLアプリ統合をクリックします。
    3. [サインオン]タブに移動し、[属性ステートメント(オプション)]セクションまでスクロールして、[編集]をクリックします。
    4. 以下の手順4に進みます。

  4. [名前]に、追加する属性の名前を入力します。
  5. このフィールドの最大長は512文字です。[名前]属性は、ユーザーとグループの属性ステートメント全体で一意である必要があります。

  6. [名前のフォーマット][指定なし]を選択します。
  1. [値]に、session.amrと入力します。
  2. [次へ]をクリックします。
  3. 完了したら、[終了]をクリックします。

アサーションの例

以下のアサーションの抜粋は、amr属性ステートメントの単一値と複数値の認証コンテキスト属性の例を示しています。

パスワードのみを使用する場合:

<saml:Attribute Name="amr" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">

<saml:AttributeValue xsi:type="xs:string">pwd</saml:AttributeValue

</saml:Attribute>

パスワードとともにOkta Verifyを第2要素として使用する場合:

<saml:Attribute Name="amr" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">

<saml:AttributeValue xsi:type="xs:string">pwd</saml:AttributeValue>

<saml:AttributeValue xsi:type="xs:string">mfa</saml:AttributeValue>

<saml:AttributeValue xsi:type="xs:string">swk</saml:AttributeValue>

</saml:Attribute>

注

現在、Oktaでは、プライマリIDプロバイダー(IdP)認証に対して、動的SAML認証コンテキストとスマート・カードのみがサポートされています。たとえば、フェデレーションIdPを使用してアプリケーションにサインインし、動的SAMLを使用する場合、アサーションにはデフォルト値としてpwdのみが含まれます。同様に、スマート・カードを使用する場合、アサーションにはデフォルト値としてscのみが含まれます。

関連項目

AIWを使用してSAML統合を作成する

Add existing app integrations

アプリ統合を新規作成する

式言語