IDプロバイダーのルーティングルール
IDプロバイダー(IdP)のルーティングルールを使用して、ユーザーのロケーション、デバイス、メールドメイン、属性、アクセスしようとしているアプリなどに基づきエンドユーザーをIDプロバイダーに転送できます。
こうしたルーティングルールを使用すると、Oktaがコンテキストに基づいてどのIDプロバイダーを使用するかを検出できるため、この機能はIdP Discovery(IdPディスカバリー)とも呼ばれます。
プロバイダーごとに、またはユーザー条件のさまざまな組み合わせに対してルールを作成できます。エンドユーザーがサインインしようとすると、アクティブなルールが評価され、当該ユーザーに最初に一致したルールが適用されます。
IdPルーティングルールは以下のシナリオで役立ちます。
- オンネットワークとオフネットワーク:ネットワークに接続していないユーザー向けに代替認証やレガシー認証を使用して、ネットワークに接続しているユーザー向けにOktaを使用できます。
- モバイルユーザー:デバイスで識別されるモバイルユーザーは、特定の機能を持つサードパーティのIDプロバイダーに認証を転送できます。
- ハブアンドスポーク組織:ハブアンドスポーク組織の「スポーク」組織で、ユーザー、アクティブディレクトリ、ポリシー、アプリ、ワークフローを管理できますが、それ以外の目的でWorkdayなどのアプリにアクセスする場合は、中央組織にアクセスする必要があります。ユーザーは、サービスプロバイダー起点の「ハブ」組織へのフローを使用してアプリから認証できます。このハブ組織は、ルーティングルールを使用して「スポーク」組織にシームレスに認証します(複数のOkta orgがある場合には、orgごとに個別のIDプロバイダーを使用してユーザーのグループの棲み分けを行えます)。
- デスクトップSSO:デスクトップユーザーをIntegrated Windows Authentication(IWA)に、モバイルユーザーをOktaに転送して認証できます。
- 複数の顧客組織:メールのサブドメインに基づいて、複数のorgから別のorgにユーザーを転送して認証できます。
- ユーザー属性による必要な検出:メールドメインが必ずしもIDプロバイダーと相関しない一部のB2Bシナリオで、ユーザー属性に基づいて認証をリダイレクトできます。
エンドユーザーエクスペリエンス
エンドユーザーのドメインや属性に基づいて、単一のプロバイダーを選択するようにIdPルーティングルールを構成している場合、メールアドレスと短い名前を入力できるように変更されたサインイン画面がエンドユーザーに表示されます。設定された条件に対してサインインが評価され、ユーザーは目的のIDプロバイダーの適切なサインイン画面にリダイレクトされます。
ルーティングルールは、エンドユーザーのサインインエクスペリエンスを改善しますが、セキュリティの強化には寄与しません。ルーティングルールとは別に、IdP用のユーザー認証ポリシーを構成する必要があります。