カスタムIdP要素

早期アクセスリリース

カスタムIDP要素により、管理者はOIDCまたはSAML IDプロバイダー(IdP)による認証を追加の検証として有効にできます。構成すると、エンドユーザーには追加の検証にIDプロバイダーを使用するオプションが表示され、検証のためにそのIDプロバイダーにリダイレクトされます。この検証により、認証がパスワード以外の別の要素(Okta Verifyなど)に置き換えられます。

カスタムIDP要素を有効にして多要素認証登録ポリシーに追加すると、ユーザーはOktaにサインインするときにそれを使用してIDを検証できるようになります。エンドユーザーは、認証のためにIDプロバイダーに転送され、検証が成功するとOktaにリダイレクトされます。

この要素を使用すると、次のことができます。

  • 既存のSAMLベースまたはOIDベースのIdP認証用にカスタムIDP要素を追加する。
  • 既存のSAML 2.0 IdPまたはOIDC IdPをリンクして、カスタムIDP要素プロバイダーとして使用する。

はじめに

  • カスタムIDP要素を登録して設定するためには、Oktaへの管理者アクセスが必要です。
  • 既存のIDプロバイダーを追加のステップアップ認証プロバイダーとして使用するには、そのプロバイダーが使用可能である必要があります。

SAMLおよびOIDCのクレームのマッピング

Oktaで想定されているSAML・OIDCのクレームは次のとおりです。

  • SAMLレスポンスの場合、subjectNameIdクレームがOktaユーザー名にマッピングされます。
  • OIDCレスポンスの場合、preferred_usernameクレームがOktaユーザー名にマッピングされます。

カスタムIDP要素を構成する

カスタムIDP要素を構成するには、次の2つの段階があります。

  1. OktaにIDプロバイダーを追加する。
  2. IdP Authenticatorを有効にする。

ステップ1:OktaにIDプロバイダーを追加する。

  1. Admin Consoleで、[Security(セキュリティ)][Identity Providers(IDプロバイダー)]に移動します。

  2. [Add Identity Provider(IDプロバイダーを追加)]をクリックし、追加するIDプロバイダーを選択します。
  3. [Next(次へ)]をクリックします。IDプロバイダーのセットアップページが表示されます。

  • 各IDプロバイダーページには、そのIDプロバイダーの設定手順へのリンクが含まれています。これらの設定手順を読んでIDプロバイダーの構成方法を確認することをお勧めします。
  • JIT設定は、カスタムIDP要素ではサポートされません。

ステップ2:カスタムIDP要素の有効化

カスタムIDP要素を有効にする前に、ステップ1の説明に従ってIDプロバイダーを追加します。

  1. Admin Consoleで、[Security(セキュリティ)][Multifactor(多要素)]に移動します。
  2. [IdP Factor(IdP要素)]をクリックします。
  3. [Edit(編集)]をクリックします。
  4. [Add Custom Factor(カスタム要素を追加)]をクリックします。
  5. メニューから[Identity Provider(IDプロバイダー)]を選択します。
  6. [Save(保存)]をクリックします。
  7. カスタム要素ステータスを[アクティブ]に設定してエンドユーザーのために有効にするか、[非アクティブ]に設定して無効にします。

カスタム要素がアクティブになると、[要素][登録]に移動してIdP factor(IdP要素)をorgのMFA登録ポリシーに追加します。

エンドユーザーエクスペリエンス

  • ユーザーは、次回のサインイン時にカスタム要素認証をセットアップするよう求められます。
  • エンドユーザーがカスタムIDP要素を正常にセットアップすると、[設定][追加検証]に表示されます。
  • エンドユーザーが要素の使用をトリガーすると、5分後に要素がタイムアウトします。その後、エンドユーザーは要素の使用を再びトリガーする必要があります。

制限事項

カスタムIDP要素認証は、以下ではサポートされていません。

  • Okta IWA Webエージェント:カスタムIDP要素認証とOkta 統合Windows認証エージェントを組み合わせてデスクトップシングルサインオンを実現することはできません。
  • 「MFAによる信頼できない許可」構成を使用するデバイスの信頼の統合は失敗します。
  • Okta Mobileユーザーは、SWAアプリの起動、パスワードの自動入力、モバイルアプリダッシュボードセッションの長期有効化ができません。OktaサポートがOrgのカスタムIDP要素を有効にすると、アプリUIの代わりにウェブインターフェイスが表示されます。
  • RDP向けMFA、ADFS向けMFA、RADIUSログイン、その他のブラウザーベースでないサインインフローでは、カスタムIDP要素はサポートされません。
  • カスタムIDP要素では、Microsoft Azure Active Directory(AD)をIDプロバイダーとして使用することはできません。Microsoft Azure ADをIDプロバイダーとして使用するには、「Azure Active DirectoryをIDプロバイダーにする」を参照してください。

関連項目

IDプロバイダー

サインオンポリシー

多要素認証

一般的なセキュリティ

ネットワークゾーン