カスタムIdP要素

早期アクセスリリース

カスタムIDP要素により、管理者はOIDCまたはSAML IDプロバイダー(IdP)による認証を追加の検証として有効にできます。構成すると、エンドユーザーには追加の検証にIDプロバイダーを使用するオプションが表示され、検証のためにそのIDプロバイダーにリダイレクトされます。この検証により、認証がパスワード以外の別の要素(Okta Verifyなど)に置き換えられます。

カスタムIDP要素を有効にして多要素認証登録ポリシーに追加すると、ユーザーはOktaにサインインするときにそれを使用してIDを検証できるようになります。エンドユーザーは、認証のためにIDプロバイダーに転送され、検証が成功するとOktaにリダイレクトされます。

この要素を使用すると、次のことができます。

  • 既存のSAMLベースまたはOIDベースのIdP認証用にカスタムIDP要素を追加する。
  • 既存のSAML 2.0 IdPまたはOIDC IdPをリンクして、カスタムIDP要素プロバイダーとして使用する。

開始する前の確認事項

  • カスタムIDP要素を登録して設定するためには、Oktaへの管理者アクセスが必要です。
  • 既存のIDプロバイダーを追加のステップアップ認証プロバイダーとして使用するには、そのプロバイダーが使用可能である必要があります。

SAMLおよびOIDCのクレームのマッピング

Oktaで想定されているSAMLとOIDCのクレームは次のとおりです。

  • SAMLレスポンスの場合、subjectNameIdクレームがOktaユーザー名にマッピングされます。
  • OIDCレスポンスの場合、preferred_usernameクレームがOktaユーザー名にマッピングされます。

カスタムIDP要素を構成する

カスタムIDP要素を構成するには、次の2つの段階があります。

  1. OktaにIDプロバイダーを追加する。
  2. IdP Authenticatorを有効にする。

ステップ1:OktaにIDプロバイダーを追加する。

  1. Admin Consoleで、セキュリティ(Security) > IDプロバイダー(Identity Providers)に移動します。

  2. IDプロバイダーを追加(Add Identity Provider)をクリックし、追加するIDプロバイダーを選択します。
  3. 次へ(Next)をクリックします。IDプロバイダーのセットアップページが表示されます。

ステップ2:カスタムIDP要素の有効化

カスタムIDP要素を有効にする前に、ステップ1の説明に従ってIDプロバイダーを追加します。

  1. Admin Consoleセキュリティ(Security) > 多要素 に移動します。

  2. IdP要素(IdP Factor)をクリックします。
  3. 編集(Edit)をクリックします。
  4. カスタム要素を追加(Add Custom Factor)をクリックします。
  5. メニューから[Identity Provider(IDプロバイダー)]を選択します。
  6. 保存(Save)をクリックします。
  7. カスタム要素ステータスをアクティブ(Active)に設定してエンドユーザーのために有効にするか、非アクティブ(Inactive)に設定して無効にします。

カスタム要素がアクティブになると、 要素(Factor) > 登録(Enrollment)に移動してIdP要素(IdP factor)をorgのMFA登録ポリシーに追加します。

エンドユーザーエクスペリエンス

  • ユーザーは、次回のサインイン時にカスタム要素認証をセットアップするよう求められます。
  • エンドユーザーがカスタムIdP要素を正常にセットアップすると、設定(Settings) > 追加検証(Extra Verification)に表示されます。
  • エンドユーザーが要素の使用をトリガーすると、5分後に要素がタイムアウトします。その後、エンドユーザーは要素の使用を再びトリガーする必要があります。

制限事項

カスタムIDP要素認証は、以下ではサポートされていません。

  • Okta IWA Webエージェント:カスタムIDP要素認証とOkta 統合Windows認証エージェントを組み合わせてデスクトップシングルサインオンを実現することはできません。
  • 「MFAによる信頼できない許可」構成を使用するDevice Trustの統合は失敗します。
  • Okta Mobileユーザーは、SWAアプリの起動、パスワードの自動入力、モバイルアプリダッシュボードセッションの長期有効化ができません。OktaサポートがOrgのカスタムIDP要素を有効にすると、アプリUIの代わりにウェブインターフェイスが表示されます。
  • RDP向けMFA、ADFS向けMFA、RADIUSログイン、その他のブラウザーベースでないサインインフローでは、カスタムIDP要素はサポートされません。
  • カスタムIDP要素では、Microsoft Azure Active Directory(AD)をIDプロバイダーとして使用することはできません。Microsoft Entra IDをIDプロバイダーとして使用する方法については、「Azure Active DirectoryをIDプロバイダーにする」を参照してください。

関連項目

IDプロバイダー(Identity Providers)

サインオンポリシー

多要素認証(Multifactor Authentication)

一般的なセキュリティ(General Security)

ネットワークゾーン