IDプロバイダーのルーティング・ルール
IDプロバイダー(IdP)のルーティング・ルールを使用して、ユーザーの場所、デバイス、メールドメイン、属性、アクセスしようとしているアプリなどに基づきエンドユーザーをIDプロバイダーに転送できます。
プロバイダーごと、あるいはユーザー基準のさまざまな組み合わせごとにルールを作成できます。エンドユーザーがサインインを試みるとアクティブなルールが評価され、ユーザーと最初に一致したルールが適用されます。
IdPのルーティング・ルールは、次のようなシナリオで便利です。
- オンネットワークとオフネットワーク:ネットワークに接続していないユーザー向けに代替認証やレガシー認証を使用して、ネットワークに接続しているユーザー向けにOktaを使用できます。
- モバイルユーザー:デバイスで識別されるモバイルユーザーは、特定の機能を持つサードパーティのIDプロバイダーに認証を転送できます。
- ハブアンドスポーク組織:ハブアンドスポーク組織の「スポーク」組織で、ユーザー、アクティブディレクトリ、ポリシー、アプリ、ワークフローを管理できますが、それ以外の目的でWorkdayなどのアプリにアクセスする場合は、中央組織にアクセスする必要があります。ユーザーは、サービスプロバイダーが開始する「ハブ」組織へのフローを使用してアプリから認証できます。このハブ組織は、ルーティング・ルールを使用して「スポーク」組織にシームレスに認証します。(複数のOkta組織がある場合には、組織ごとに個別のIDプロバイダーを使用してユーザーのグループの棲み分けを行えます。)
- デスクトップSSO:デスクトップユーザーを統合Windows認証(IWA)に、モバイルユーザーをOktaに転送して認証できます。
- 複数の顧客組織:メールのサブドメインに基づいて、複数の組織から別の組織にユーザーを転送して認証できます。
- ユーザー属性による必要な検出:メールドメインが必ずしもIDプロバイダーと相関しない一部のB2Bシナリオで、ユーザー属性に基づいて認証をリダイレクトできます。
エンドユーザーエクスペリエンス
エンドユーザーのドメインや属性に基づいて、
このサインインが設定済みの基準と照らし合わせて評価され、適当なIDプロバイダーのサインイン画面にユーザーがリダイレクトされます。
ルーティング・ルールはエンドユーザーのサインインエクスペリエンスを改善しますが、セキュリティの強化には貢献しません。ルーティング・ルールとは別に、IdP用のユーザー認証ポリシーを構成する必要があります。