制限付きアクセスを使用してデバイスコンテキストをSAMLアプリに渡す

制限付きアクセスを使用すると、認証中に交換されるSAMLアサーションを介してデバイスコンテキストを特定のSAMLアプリに渡すようにOktaを構成できます。その後、アプリはその情報を使用して、アプリケーションを編集したり、アプリケーションからファイルをダウンロードしたりするためのユーザー権限など、特定のアプリ固有の動作へのアクセスを制限できます。

この機能は次の機能で動作します。

  • Windows、macOS、iOS、およびAndroidデバイス
  • デバイスコンテキスト属性を使用できるカスタムおよびOINSAMLアプリの統合

前提条件

Okta Admin Consoleで

  • Okta管理コンソールでデバイスの信頼を有効にする(セキュリティ > デバイスの信頼
  • アプリ統合のデバイス信頼サインオンポリシーを構成します(アプリケーション > アプリ > サインオンタブ

詳細については、実装に適した デバイス信頼ドキュメント を参照してください。

外部アプリケーションで

SAMLアサーションで受信したデバイスコンテキストを使用するように外部アプリケーションを構成し、そのコンテキストに基づいて制御する動作を指定します。

サポートされている属性値

この機能が構成されている場合、Oktaは、Oktaで構成した属性ステートメントとアプリ統合サインオンポリシーに従って、SAMLアサーションで次の属性値のいずれかを外部アプリケーションに渡します。

属性値

定義

TRUSTEDOktaアプリ統合サインオンポリシーで定義されているように、ユーザーのデバイスは信頼されています
NOT_TRUSTEDOktaアプリ統合サインオンポリシーで定義されているように、ユーザーのデバイスは信頼されていません
UNKNOWN

次のいずれかまたは両方が当てはまるため、デバイスコンテキストは不明です。

  • 特定のデバイスタイプに対してデバイス信頼が有効になっていません(セキュリティ > デバイス信頼
  • デバイス統合は、アプリ統合サインオンポリシーで構成されていません(アプリケーション > アプリ > サインオン > サインオンポリシー
情報

  • 外部アプリケーションに渡される属性値は、セッションの期間中強制されます。
  • Okta Expression Language表現言語 を使用して、Oktaの用語をISV固有の用語にマッピングできます。

手順

  1. 前提条件を完了します。
  1. まだ行っていない場合は、Okta管理コンソールからカスタム・アプリ統合を作成するか、OINアプリ統合を追加します。
  2. 属性ステートメントをアプリ統合に追加します(詳細については、属性ステートメントを定義するを参照してください)。

    新しいアプリ統合の作成中、または既存のアプリ統合の編集としてステートメントを追加できます。

    3. アプリ統合を作成する場合:

    手順2:SAMLを構成する[属性ステートメント(オプション)]セクションまでスクロールします。

    –または–

    既存のアプリ統合を編集するには:

    カスタム・アプリ統合とOINアプリ統合のどちらを編集するかによって手順が異なります。

    カスタム・アプリ統合を編集する場合:

    1. [Okta管理コンソール]で、[アプリケーション]>[アプリケーション]に移動します。
    2. カスタムSAMLアプリをクリックします。
    3. [一般]タブに移動し、[SAMLの設定]セクションまでスクロールして、[編集]をクリックします。
    4. [次へ]をクリックします。
    5. [属性ステートメント(オプション)]セクションまでスクロールします。
    6. 以下の手順4に進みます。

    OINアプリを編集する場合

    1. [Okta管理コンソール]で、[アプリケーション]>[アプリケーション]に移動します。
    2. OIN SAMLアプリ統合をクリックします。
    3. [サインオン]タブに移動し、[属性ステートメント(オプション)]セクションまでスクロールして、[編集]をクリックします。

    4. 以下の手順4に進みます。

  3. [名前]に、追加する属性の名前を入力します。

    4. このフィールドの最大長は512文字です。[名前]属性は、ユーザーとグループの属性ステートメント全体で一意である必要があります。

  4. [名前のフォーマット][指定なし]を選択します。
  1. で、 device.trustedを選択します。

    2. このフィールドの最大文字数は1024文字です。

    Okta Expression Language表現言語 を使用して、ユースケースの必要に応じて値を変換できます。

    たとえば、信頼できるデバイスコンテキストのOkta用語を関連するSalesforce用語にマッピングするには、 フィールドに次のステートメントを入力します。

    device.trusted == "TRUSTED" ? "HIGH ASSURANCE" : "STANDARD"

    上記のステートメントは、用語を次のように変換します。

    Oktaデバイスコンテキスト属性

    Salesforce用語

    TRUSTED

    HIGH ASSURANCE 高い保証

    NOT_TRUSTED

    		STANDARD標準
    UNKNOWNSTANDARD標準
  2. 明細行を追加する場合は、[Add Another(別のものを追加する)]をクリックします。必要なすべての属性が定義されるまで繰り返します。
  3. [Next(次へ)]をクリックします。
  4. 完了したら、 [Finish(完了)] をクリックします。

属性ステートメントの詳細

信頼できないデバイスのデバイスコンテキストを示す、SAMLアサーションを介して外部アプリケーションに送信される属性ステートメントは次のとおりです。

<?xml version = "1.0"?>

<saml2:AttributeStatement xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">

<saml2:Attribute Name = "DeviceTrustSignal" NameFormat = "urn:oasis:names:tc:SAML:2.0:attrname-format:unspecific">

<saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">NOT_TRUSTED</saml2:AttributeValue>

</saml2:Attribute>

</saml2:AttributeStatement>

関連項目

アプリケーション・ページ

Okta Device Trustソリューション

AIWを使用してSAML統合を作成する

アプリ統合を新規作成する

表現言語