カスタムIdP 要素

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。


IDプロバイダー(IdP) 要素認証により、管理者は、設定されたIDプロバイダーに基づいてカスタムSAML またはOIDC MFA要素オーセンティケーターを有効にできます。

IdP 要素 を有効にして 要素 登録ポリシーに追加すると、Oktaにサインインするユーザーは身元を確認するためにそれを使用できます。エンドユーザーは、認証のためにIDプロバイダーに転送され、検証が成功するとOktaにリダイレクトされます。

この機能を使用すると以下のことができます。

  • 既存のSAML またはOIDベースIdP認証用のカスタムIdP要素を追加する。
  • 管理コンソールからカスタム要素を有効または無効にする。
  • 既存のSAML 2.0 IdP またはOIDC IdP をリンクして、カスタム要素プロバイダーとして使用する。

開始する前に

  • 使用するカスタム要素を登録して設定するためにはOktaへの管理者アクセスが必要です。
  • 追加のステップアップ認証プロバイダーとして既存のIDプロバイダーを使用できる必要があります。
  • IDプロバイダーの追加に関する詳細は、この項目の「ステップ1 - IDプロバイダーの追加」を参照してください。

SAML とOIDCクレーム

OktaはSAML とOIDCに対する以下のクレームを期待しています。

  • SAML 応答では、subjectNameId クレームがOktaユーザー名にマッピングされます。
  • OIDC 応答では、preferred_usernameクレームがOktaユーザー名にマッピングされます。

Custom IdP 要素の設定

カスタムIdP 要素をセットアップするための2つの主要ステップがあります: 1) MFA用IdPの追加 と2) IdP 要素の有効化。

ステップ1: IDプロバイダーの追加

  1. MFA用SAML IDプロバイダーの作成方法の詳細は、「IDプロバイダー」を参照してください。このワークフローは、[Identify Providers(IDプロバイダー)] > [Configure Inbound SAML(インバウンドSAMLの構成)] > [Workflow(ワークフロー)] > [Part 1 – Add a SAML Identity Provider(パート1 - SAML IDプロバイダーの追加)]の下にあります。
  2. FactorOnlyとしてのIdPの使用でIdP 要素を作成します。JIT設定はサポートされていないことに注意してください。

  3. 設定したら、Oktaコンソールから [Security(セキュリティ)] > [Identity Providers(IDプロバイダー)]に移動して、IDプロバイダーを追加します。

ステップ2: カスタム IdP 要素 の有効化

  1. 管理コンソールで、[セキュリティー] > に移動します [Multifactor(多要素)]
  2. [IdP Factor(IdP要素)] をクリックして、カスタム SAML要素のカスタム要素セットアップまたはカスタムOIDC 要素セットアップにアクセスします。
  3. [Edit(編集)]をクリックします。
  4. [Add Custom Factor(カスタム要素の追加)]をクリックして新しいカスタム要素を追加します。
  5. メニューからIDプロバイダーを選択します。IDプロバイダーを選択する前にまずそれを設定する必要があることに注意してください。

  6. IDプロバイダーを追加したら、[Save(保存)」をクリックして設定を保存します。
  7. カスタム 要素ステータスを [Active(アクティブ)]に設定してエンドユーザーのために有効にするか、 [Inactive(非アクティブ)]に設定して無効にします。

カスタム要素がアクティブになると、[Factor(要素)] [Enrollment(登録)] に移動して IdP factor(IdP要素)を組織の要素 .登録ポリシーに追加します。


エンドユーザーエクスペリエンス

  • 管理者がカスタム要素を追加して有効にすると、 エンドユーザーは次回にサインインするときにカスタム要素認証をセットアップするように求められます。
  • エンドユーザーが要素をセットアップしたら、[Settings(設定)] > [Extra Verification(追加の確認)]の下に設定済み要素として設定に表示されます。
  • エンドユーザーが 要素の使用をトリガーしたら、5分後にその要素がタイムアウトして、その後その要素を再び使用をトリガーする必要があります。

制限事項

カスタムIdP 要素認証は、以下ではサポートされていません。

  • Okta Mobile:組織に対してカスタムIdP 要素認証が有効になっていると、Okta MobileはユーザーにPIN セットアップを求めず、app UIではなくウェブインターフェイスが表示されます。ユーザーはOkta Mobileからタップしてアプリケーションを開始できません。

  • Okta IWA ウェブエージェント:IdP要素認証は、Okta IWA でのシングルサインオン(SSO) には使用できません。

  • Device Trust(デバイスの信頼):Device Trust(デバイスの信頼)を使用する場合、カスタムIdP 要素認証は失敗します。


関連項目

IDプロバイダー

セキュリティポリシー

多要素認証

一般的なセキュリティ

ネットワークセキュリティ