カスタムIdP要素

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

カスタムIdP要素により、管理者はOIDCまたはSAML IDプロバイダー(IdP)による認証を追加の検証として有効にできます。構成すると、エンドユーザーには追加の検証にIDプロバイダーを使用するオプションが表示され、検証のためにそのIDプロバイダーにリダイレクトされます。この検証により、認証がパスワード以外の別の要素(Okta Verifyなど)に置き換えられます。

カスタムIdP要素を有効にして多要素認証登録ポリシーに追加すると、ユーザーはOktaにサインインするときにそれを使用してIDを検証できるようになります。エンドユーザーは、認証のためにIDプロバイダーに転送され、検証が成功するとOktaにリダイレクトされます。

この要素を使用すると、次のことができます。

  • 既存のSAMLベースまたはOIDベースのIdP認証用にカスタムIdP要素を追加する。
  • 既存のSAML 2.0 IdPまたはOIDC IdPをリンクして、カスタムIdP要素プロバイダーとして使用する。

開始する前に

  • カスタムIdP要素を登録して設定するためには、Oktaへの管理者アクセスが必要です。
  • 既存のIDプロバイダーを追加のステップアップ認証プロバイダーとして使用するには、そのプロバイダーが使用可能である必要があります。

SAMLおよびOIDCのクレームのマッピング

Oktaで想定されているSAMLおよびOIDCのクレームは次のとおりです。

  • SAMLレスポンスの場合、subjectNameIdクレームがOktaユーザー名にマッピングされます。
  • OIDCレスポンスの場合、preferred_usernameクレームがOktaユーザー名にマッピングされます。

カスタムIdP要素を構成する

カスタムIdP要素を構成するには、次の2つの段階があります。

  1. OktaにIDプロバイダーを追加する。
  2. IdPオーセンティケーターを有効にする。

ステップ1:OktaにIDプロバイダーを追加する。

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Identity Providers(IDプロバイダー)]に移動します。

  2. [Add identity provider(IDプロバイダーを追加)]をクリックし、追加するIDプロバイダーを選択します。
  3. [Next(次へ)]をクリックします。IDプロバイダーのセットアップ・ページが表示されます。

  • 各IDプロバイダーページには、そのIDプロバイダーのセットアップ手順へのリンクが含まれています。この手順を読んでIDプロバイダーの構成方法を確認することをお勧めします。
  • JIT設定は、カスタムIdP要素ではサポートされません。

ステップ2:カスタムIdP要素の有効化

カスタムIdP要素を有効にする前に、ステップ1の説明に従ってIDプロバイダーを追加する必要があります。

  1. 管理コンソールで、[Security(セキュリティ)]>[Multifactor(多要素)]に移動します。
  2. [IdP Factor(IdP要素)]をクリックします。
  3. [Edit(編集)]をクリックします。
  4. [Add Custom Factor(カスタム要素を追加)]をクリックします。
  5. メニューからIDプロバイダーを選択します。
  6. [Save(保存)]をクリックします。
  7. カスタム要素ステータスを[Active(アクティブ)]に設定してエンドユーザーのために有効にするか、[Inactive(非アクティブ)]に設定して無効にします。

カスタム要素がアクティブになると、[Factor(要素)] [Enrollment(登録)]に移動してIdP factor(IdP要素)をorgのMFA登録ポリシーに追加します。

エンドユーザーエクスペリエンス

  • 管理者がカスタムIdP要素を追加して有効にすると、 エンドユーザーは次回サインインするときにカスタム要素認証をセットアップするように求められます。
  • エンドユーザーがカスタムIdP要素をセットアップしたら、[Settings(設定)]>[Extra Verification(追加の確認)]の下に設定済み要素として設定に表示されます。
  • エンドユーザーが要素の使用をトリガーすると、5分後に要素がタイムアウトします。その後、エンドユーザーは要素の使用を再びトリガーする必要があります。

制限事項

カスタムIdP要素認証は、以下ではサポートされていません。

  • Okta IWA Webエージェント:カスタムIdP要素認証とOkta Integrated Windows Authenticationエージェント(IWA)を組み合わせてデスクトップシングルサインオンを実現することはできません。
  • 「MFAによる信頼できない許可」構成を使用するデバイスの信頼の統合は失敗します。
  • Okta Mobileユーザーは、SWAアプリの起動、パスワードの自動入力、モバイルアプリダッシュボードセッションの長期有効化ができなくなります。Oktaサポートがご使用のorgに対してカスタムIdP要素を有効にすると、アプリUIの代わりにウェブインターフェイスが表示されます。
  • RDP向けMFA、ADFS向けMFA、RADIUSログイン、その他のブラウザーベースでないサインインフローでは、カスタムIdP要素はサポートされません。
  • カスタムIdP要素では、Microsoft Azure Active Directory(AD)をIDプロバイダーとして使用することはできません。Microsoft Azure ADをIDプロバイダーとして使用するには、「Azure Active DirectoryをIDプロバイダーにする」を参照してください。

関連項目

IDプロバイダー

サインオンポリシー

多要素認証

一般的なセキュリティ

ネットワークゾーン