IDプロバイダーのルーティングルールを構成する

IDプロバイダー(IdP)ごとに、またはユーザー条件のさまざまな組み合わせに対してルーティングルールを構成します。デフォルトのルールでは、OktaがIdPに指定され、ルーティングルールの条件を満たさないユーザーに適用されます。

特定のIdPにバインドされないルーティングルールを作成するには、「動的ルーティングルールの構成」を参照してください。

はじめに

ルーティングルールを追加する前に、Okta IWA Webエージェントと少なくとも1つのIdPを構成する必要があります(ソーシャルIdPを利用できます)。「SAML 2.0 IdPの追加」と「汎用OpenID Connect」を参照してください。

利用できるIdPのリストと同じページでOktaユーザー名とパスワードの入力をユーザーに求める場合は、ユーザーが[Password / Any IdP(パスワード/任意のIDP)]を使ってセッションを確立するようにOktaサインオンポリシーを構成します。この組み合わせは、OktaをIdPとして提供するルールや、デフォルトのルーティングルールを優先する場合に推奨されます。

ChromeBookのIdPディスカバリは、Okta IdPと、ChromeBookのサポートを公表しているサードパーティIdPのみをサポートします。Okta Mobileは、IdPディスカバリでの使用はサポートされません。

IPアドレスに基づいてユーザーをルーティングする場合は、少なくとも1つのネットワークゾーンを定義します。「ネットワークゾーン」を参照してください。

ルールの追加

  1. Admin Consoleで、[Security(セキュリティ)][Identity Providers(IDプロバイダー)]に移動します。
  2. [Routing Rules(ルーティングルール)]タブで、[Add Routing Rule(ルーティングルールを追加)]をクリックします。
  3. [Rule Name(ルール名)]を入力します。
  4. ルーティング条件を構成します。
    IF User's IP is(ユーザーのIPが次の場合)ネットワークゾーンを選択します。
    AND [User's device platform is(ユーザーのデバイスプラットフォーム)]モバイルデバイスとデスクトップデバイスの任意の組み合わせを選択します。

    iOSデバイスはiOSルーティングルールをバイパスする場合があります。「macOSデバイス用のルーティングルールの構成」を参照してください。

    AND [User is accessing(ユーザーがアクセスしています)]アプリケーションまたはアプリインスタンスを追加します。アプリケーションの名前を入力すると、一致するアプリがすべて表示されます。
    AND [User matches(ユーザーが一致)]ユーザーが一致する必要のあるログイン属性を選択します。
    • Anythingにはすべてのユーザーが含まれます。
    • Regex on loginでは、ユーザーのログインに基づく有効な正規表現を入力して、これを照合に利用できます。これは、ドメインまたはユーザー属性の指定では照合に不十分な場合に便利です。たとえば、.*\+devtest@company.comはドメイン@company.comのログインに一致しますが、@記号の前に+devtestが含まれている場合のみです。
    • Domain list on loginでは、照合するドメインのリストを指定します(@記号は不要)。たとえば、mytest.comとなります。文字をエスケープする必要はありません(正規表現を使用する場合は必須)。
    • User attributesでは、一致する属性名、比較のタイプ、値を指定します。比較のタイプとしてRegexを選択した場合は、値に有効な正規表現を入力する必要があります。たとえば:OktaユーザースキーマのDepartment属性として(Human Resources|Engineering|Marketing)を入力します。
    THEN [Use this identity provider(このIDプロバイダーを使用)すべての条件が満たされた場合に使用するIdPを選択します。
  5. [Create Rule(ルールを作成)]をクリックし、ルールを直ちにアクティブ化するかどうかを指定します。

macOSデバイス用のルーティングルールの構成

Safariでデバイスユーザーエージェントを報告する方法が変更されたため、OktaではmacOSデバイスからのアプリリクエストとiPadOSデバイスのSafariからのアプリリクエストを区別できません。

iPadOSデバイスがiOSポリシーをバイパスしないようにするには、macOSおよびiPadOSデバイスに適用する拒否/キャッチオールルーティングルールを構成します。macOSアプリのルーティングルールがiPadOSデバイスユーザーを評価することがないように、これらのユーザーには、次のいずれかのオプションを実行する必要があることを伝えます。

  • オプション1:All websites accessed from Safari (iPadOS 13 and higher)(Safari(iPadOS 13以降)からアクセスされるすべてのWebサイト)。iPadの設定で[Safari settings(Safari設定)][Request Desktop Website(デスクトップ用Webサイトのリクエスト)]に移動し、[All Websites(すべてのWebサイト)]の設定をオフにします。
  • オプション2:Per-website basis(Webサイト単位)。Safariを開き、[Search(検索)]フィールドの左側の[Aa]をタップし、[Request Mobile Website(モバイル用Webサイトをリクエスト)]をタップします。
  • オプション3:ネイティブアプリまたはOkta Mobileから対象アプリにアクセス。

関連項目

IDプロバイダーのルーティングルール

ルーティングルールの変更

IDプロバイダー

動的ルーティングルールを構成する