IDプロバイダーのルーティング・ルール

IDプロバイダー(IdP)のルーティング・ルールを使用して、ユーザーの場所、デバイス、メールドメイン、属性、アクセスしようとしているアプリなどに基づきエンドユーザーをIDプロバイダーに転送できます。Oktaはルーティング・ルールを利用して、コンテキストに基づき使用するIDプロバイダーを発見するため、この機能はIdP Discovery(IdPディスカバリー)とも呼ばれます。

プロバイダーごと、あるいはユーザー基準のさまざまな組み合わせごとにルールを作成できます。エンドユーザーがサインインを試みるとアクティブなルールが評価され、ユーザーと最初に一致したルールが適用されます。

IdPのルーティング・ルールは、次のようなシナリオで便利です。

  • オンネットワークとオフネットワーク:ネットワークに接続していないユーザー向けに代替認証やレガシー認証を使用して、ネットワークに接続しているユーザー向けにOktaを使用できます。
  • モバイルユーザー:デバイスで識別されるモバイルユーザーは、特定の機能を持つサードパーティのIDプロバイダーに認証を転送できます。
  • ハブアンドスポーク組織:ハブアンドスポーク組織の「スポーク」組織で、ユーザー、アクティブディレクトリ、ポリシー、アプリ、ワークフローを管理できますが、それ以外の目的でWorkdayなどのアプリにアクセスする場合は、中央組織にアクセスする必要があります。ユーザーは、サービスプロバイダーが開始する「ハブ」組織へのフローを使用してアプリから認証できます。このハブ組織は、ルーティング・ルールを使用して「スポーク」組織にシームレスに認証します。(複数のOkta組織がある場合には、組織ごとに個別のIDプロバイダーを使用してユーザーのグループの棲み分けを行えます。)
  • デスクトップSSO:デスクトップユーザーを統合Windows認証(IWA)に、モバイルユーザーをOktaに転送して認証できます。
  • 複数の顧客組織:メールのサブドメインに基づいて、複数の組織から別の組織にユーザーを転送して認証できます。
  • ユーザー属性による必要な検出:メールドメインが必ずしもIDプロバイダーと相関しない一部のB2Bシナリオで、ユーザー属性に基づいて認証をリダイレクトできます。

エンドユーザーエクスペリエンス

エンドユーザーのドメインや属性に基づいて、単一のプロバイダーを選択するようにIdPルーティング・ルールが構成されている場合、メールアドレスと短い名前を入力できる変更されたサインイン画面がエンドユーザーに表示されます。

このサインインが設定済みの基準と照らし合わせて評価され、適当なIDプロバイダーのサインイン画面にユーザーがリダイレクトされます。

注

ルーティング・ルールはエンドユーザーのサインインエクスペリエンスを改善しますが、セキュリティの強化には貢献しません。ルーティング・ルールとは別に、IdP用のユーザー認証ポリシーを構成する必要があります。

関連項目

ルーティング・ルールを構成する

IDプロバイダー