IDプロバイダーのルーティングルールを構成する

IDプロバイダー（IdP）ごとに、またはユーザー条件のさまざまな組み合わせに対してルーティングルールを構成します。ルーティングルールの条件を満たさないユーザーは、OktaをIDプロバイダーとして指定するデフォルトのルールによって評価されます。

特定のIdPにバインドされないルーティングルールを作成するには、「動的ルーティングルールの構成」を参照してください。

開始する前に

ルーティングルールを追加する前に、Okta IWA Webエージェントと少なくとも1つの追加のIDプロバイダーを構成する必要があります（ソーシャルIDプロバイダーを利用できます）。「SAML 2.0 IdPの追加」と「汎用OpenID Connect」を参照してください。

利用可能なIDプロバイダーのリストと同じページでエンドユーザーにOktaユーザー名とパスワードの入力を求める場合は、Oktaサインオンポリシーがパスワード/IDPに構成されていることを確認してください。この組み合わせは、OktaをIDプロバイダーとして提供するルールや、デフォルトのルーティングルールを優先する場合に推奨されます。

ChromeBookでのIdPディスカバリーは、Okta IDプロバイダーと、ChromeBookのサポートを公表しているサードパーティのIDプロバイダーのみをサポートします。Okta Mobileは、IDプロバイダー検出での使用はサポートされません。

IPアドレスに基づいてユーザーをルーティングする場合は、少なくとも1つのネットワークゾーンを定義します。「ネットワークゾーン」を参照してください。

ルールの追加

管理コンソールで、［Security（セキュリティ）］［Identity Providers（IDプロバイダー）］に移動します。
［Routing Rules（ルーティングルール）］タブで、［Add Routing Rule（ルーティングルールを追加）］をクリックします。
［Rule Name（ルール名）］を入力します。

ルーティング条件を構成します。

IF ［User's IP is（ユーザーのIP）］ゾーンを指定します。少なくとも1つのネットワークゾーンが定義済みである必要があります。ゾーンの詳細については、「ネットワークゾーン」を参照してください。 AND ［User's device platform is（ユーザーのデバイスプラットフォーム）］モバイルデバイスとデスクトップデバイスの任意の組み合わせを選択します。 iOSデバイスはiOSルーティングルールをバイパスする場合があります。「macOSデバイス用のルーティングルールの構成」を参照してください。 AND ［User is accessing（ユーザーがアクセスしています）］アプリケーションまたはアプリインスタンスを追加します。アプリケーションの名前を入力すると、一致するアプリがすべて表示されます。 AND ［User matches（ユーザーが一致）］ユーザーが一致する必要のあるログイン属性を選択します。 Anythingにはすべてのユーザーが含まれます。 Regex on loginでは、ユーザーのログインに基づく有効な正規表現を入力して、これを照合に利用できます。これは、ドメインまたはユーザー属性の指定では照合に不十分な場合に便利です。たとえば、.*\+devtest@company.comはドメイン@company.comのログインに一致しますが、@記号の前に+devtestが含まれている場合のみです。 Domain list on loginでは、照合するドメインのリストを指定します（@記号は不要）。たとえば、mytest.comとなります。文字をエスケープする必要はありません（正規表現を使用する場合は必須）。 User attributesでは、一致する属性名、比較のタイプ、値を指定します。比較のタイプとしてRegexを選択した場合は、値に有効な正規表現を入力する必要があります。例：OktaユーザースキーマのDepartment属性の(Human Resources|Engineering|Marketing)。 THEN ［Use this identity provider（このIDプロバイダーを使用）］すべての条件が満たされた場合に使用するIDプロバイダーを指定します。

［Create Rule（ルールを作成）］をクリックし、ルールをすぐにアクティブ化するかどうかを指定します。

macOSデバイス用のルーティングルールの構成

Safariでデバイスユーザーエージェントを報告する方法が変更されたため、OktaではmacOSデバイスからのアプリリクエストとiPadOSデバイスのSafariからのアプリリクエストを区別できません。

iPadOSデバイスがiOSポリシーをバイパスしないようにするには、macOSおよびiPadOSデバイスに適用する拒否/キャッチオールルーティングルールを構成します。iPadOSデバイスのユーザーがmacOSアプリのルーティングルールの影響を受けないようにするには、次のいずれかのオプションを実行する必要があることをユーザーに通知します。

オプション1：Safari（iPadOS 13以降）からアクセスされるすべてのWebサイト。iPadの設定で、［Safari settings（Safari設定）］>［Request Desktop Website（デスクトップ用Webサイトのリクエスト）］の順に移動して、［All Websites（すべてのWebサイト）］の設定をオフにします。
オプション2：Webサイト単位。Safariを開き、検索フィールドの左側の［Aa］をタップして、［Request Mobile Website（モバイル用Webサイトをリクエスト）］をタップします。
オプション3：ネイティブアプリまたはOkta Mobileから対象アプリにアクセス。

`IF` ［User's IP is（ユーザーのIP）］	ゾーンを指定します。少なくとも1つのネットワークゾーンが定義済みである必要があります。ゾーンの詳細については、「ネットワークゾーン」を参照してください。
`AND` ［User's device platform is（ユーザーのデバイスプラットフォーム）］	モバイルデバイスとデスクトップデバイスの任意の組み合わせを選択します。 iOSデバイスはiOSルーティングルールをバイパスする場合があります。「macOSデバイス用のルーティングルールの構成」を参照してください。
`AND` ［User is accessing（ユーザーがアクセスしています）］	アプリケーションまたはアプリインスタンスを追加します。アプリケーションの名前を入力すると、一致するアプリがすべて表示されます。
`AND` ［User matches（ユーザーが一致）］	ユーザーが一致する必要のあるログイン属性を選択します。 Anythingにはすべてのユーザーが含まれます。 Regex on loginでは、ユーザーのログインに基づく有効な正規表現を入力して、これを照合に利用できます。これは、ドメインまたはユーザー属性の指定では照合に不十分な場合に便利です。たとえば、.*\+devtest@company.comはドメイン@company.comのログインに一致しますが、@記号の前に+devtestが含まれている場合のみです。 Domain list on loginでは、照合するドメインのリストを指定します（@記号は不要）。たとえば、mytest.comとなります。文字をエスケープする必要はありません（正規表現を使用する場合は必須）。 User attributesでは、一致する属性名、比較のタイプ、値を指定します。比較のタイプとしてRegexを選択した場合は、値に有効な正規表現を入力する必要があります。例：OktaユーザースキーマのDepartment属性の(Human Resources\|Engineering\|Marketing)。
`THEN` ［Use this identity provider（このIDプロバイダーを使用）］	すべての条件が満たされた場合に使用するIDプロバイダーを指定します。

IDプロバイダーのルーティングルールを構成する

開始する前に

ルールの追加

macOSデバイス用のルーティングルールの構成

関連項目