アプリ統合にカスタムクレームを構成する
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
このトピックでは、Oktaアプリ統合でカスタムクレームを作成・管理する方法を説明します。Security Assertion Markup Language(SAML)およびOpenID Connect(OIDC)アプリ統合を構成し、SAMLアサーションとOIDC IDトークンでカスタムクレームを渡す手順が含まれています。
カスタムクレームを理解する
カスタムクレーム(SAMLアプリでは属性ステートメント、 OIDCアプリではトークンクレームと呼ばれます)を使用することで、Oktaからアプリ統合にユーザー情報を渡すことができます。
以前は、ユーザーとグループのクレームのみがサポートされていました。これは現在、レガシー構成と見なされています。レガシー構成を使用してレガシークレームを引き続き作成・管理することもできます(「レガシー構成を使用してエンタイトルメントクレームを作成する」を参照)。または、最新のより強力なクレーム管理機能を使用して、エンタイトルメントクレームを含むさまざまなカスタムクレームを生成することもできます。
カスタムクレームは、アプリページの[Sign On(サインオン)]タブで作成・管理されるようになりました。Okta Identity Engine向けOkta Expression Language(OIE向けEL)を使用して、 SAMLアサーションやOIDC IDトークンで渡すユーザー情報を指定できます。SAMLまたはOIDCのアプリ統合を作成する際にクレームを定義できなくなりました。
サポートされるクレーム
次のOIE向けEL式を使用して、カスタムクレームを生成できます。OIEのELの構文と機能の詳細については、「Okta Identity EngineのOkta Expression Language」を参照してください。
クレームタイプ | Expression |
---|---|
ユーザープロファイル属性 | user.profile.{$property} |
グループ所属 | user.getGroups.{$arrayOfProperties} |
デバイスプロファイル属性 | device.profile.{$property} |
セッションAMR | session.amr |
Session ID(セッションID) | session.id |
エンタイトルメント Okta Identity Governanceが必要です。 |
appuser.entitlements.{$attribute} |
SAMLアサーションおよびOIDC IDトークンでカスタムクレームを渡す
- に移動し、SAMLまたはOIDCアプリを開きます。
- [Sign On(サインオン)]タブをクリックします。
- [Attributes Statements(属性ステートメント)](SAML)または[Token claims(トークンクレーム)](OIDC)セクションで、[Add expression(式を追加)]をクリックします。
- [Name(名前)]フィールドに、カスタムクレームの名前を入力します。
- [Expression(式)]フィールドにOIE向けEL式を入力し、カスタムクレームに含める情報を指定します。サポートされている式の一覧については、「サポートされるクレーム」を参照してください。OIE向けELの詳細については、「Okta Identity EngineのOkta Expression Language」を参照してください。
- [Save(保存)]をクリックします。
カスタムクレームに関するよくある質問
レガシークレームは新しいクレームインターフェイスに自動的に移行されますか?
いいえ。レガシークレームは旧バージョンのOkta Expression Languageを使用します。クレームを新しいクレームインターフェイスに移行するには、OIE向けOkta Expression Languageを使用して式を再作成する必要があります。
式を新しいインターフェイスに移行すべきでしょうか?
レガシー式を移行する必要はありません。レガシー式と新しい式は共存し、追加的に利用できます。ただし、新しいインターフェイスはより合理化されており、場合によっては、1つの式で多くのレガシー式を置き換えられます。運用orgで変更を行う前に、Preview Orgで新しい式をテストしてください。
クレームがSAML設定やOIDC IDトークン設定に表示されなくなったのはなぜですか?
クレームはSAML設定またはOIDC IDトークン設定からアプリの[Sign On(サインオン)]タブに移動しました。[Attributes Statements(属性ステートメント)](SAML)または[Token claims(トークンクレーム)](OIDC)セクションで、[Show legacy configuration(レガシー構成を表示)]を展開します。
クレームが[General(一般)]タブに表示されなくなったのはなぜですか?
クレームは[General(一般)]タブから[Sign On(サインオン)]タブに移動しました。[Attributes Statements(属性ステートメント)](SAML)または[Token claims(トークンクレーム)](OIDC)セクションで、[Show legacy configuration(レガシー構成を表示)]を展開します。
アプリ統合を作成するときにSAML属性ステートメントやクレームを構成できないのはなぜですか?
これは現在[Sign On(サインオン)]タブで行われます。他の類似機能と同様、必要最小限の情報でアプリケーションを保存した後に構成できます。