アプリ統合にカスタムクレームを構成する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

このトピックでは、Oktaアプリ統合でカスタムクレームを作成・管理する方法を説明します。Security Assertion Markup Language(SAML)およびOpenID Connect(OIDC)アプリ統合を構成し、SAMLアサーションとOIDC IDトークンでカスタムクレームを渡す手順が含まれています。

カスタムクレームを理解する

カスタムクレーム(SAMLアプリでは属性ステートメント、 OIDCアプリではトークンクレームと呼ばれます)を使用することで、Oktaからアプリ統合にユーザー情報を渡すことができます。

以前は、ユーザーとグループのクレームのみがサポートされていました。これは現在、レガシー構成と見なされています。レガシー構成を使用してレガシークレームを引き続き作成・管理することもできます(「レガシー構成を使用してエンタイトルメントクレームを作成する」を参照)。または、最新のより強力なクレーム管理機能を使用して、エンタイトルメントクレームを含むさまざまなカスタムクレームを生成することもできます。

カスタムクレームは、アプリページの[Sign On(サインオン)]タブで作成・管理されるようになりました。Okta Identity Engine向けOkta Expression Language(OIE向けEL)を使用して、 SAMLアサーションやOIDC IDトークンで渡すユーザー情報を指定できます。SAMLまたはOIDCのアプリ統合を作成する際にクレームを定義できなくなりました。

サポートされるクレーム

次のOIE向けEL式を使用して、カスタムクレームを生成できます。OIEのELの構文と機能の詳細については、「Okta Identity EngineのOkta Expression Language」を参照してください。

クレームタイプ Expression
ユーザープロファイル属性 user.profile.{$property}
グループ所属 user.getGroups.{$arrayOfProperties}
デバイスプロファイル属性 device.profile.{$property}
セッションAMR session.amr
Session ID(セッションID) session.id

エンタイトルメント

Okta Identity Governanceが必要です。

appuser.entitlements.{$attribute}

SAMLアサーションおよびOIDC IDトークンでカスタムクレームを渡す

  1. [Applications(アプリケーション)][Applications(アプリケーション)]に移動し、SAMLまたはOIDCアプリを開きます。
  2. [Sign On(サインオン)]タブをクリックします。
  3. [Attributes Statements(属性ステートメント)](SAML)または[Token claims(トークンクレーム)](OIDC)セクションで、[Add expression(式を追加)]をクリックします。
  4. [Name(名前)]フィールドに、カスタムクレームの名前を入力します。
  5. [Expression(式)]フィールドにOIE向けEL式を入力し、カスタムクレームに含める情報を指定します。サポートされている式の一覧については、「サポートされるクレーム」を参照してください。OIE向けELの詳細については、「Okta Identity EngineのOkta Expression Language」を参照してください。
  6. [Save(保存)]をクリックします。

カスタムクレームに関するよくある質問

レガシークレームは新しいクレームインターフェイスに自動的に移行されますか?

いいえ。レガシークレームは旧バージョンのOkta Expression Languageを使用します。クレームを新しいクレームインターフェイスに移行するには、OIE向けOkta Expression Languageを使用して式を再作成する必要があります。

式を新しいインターフェイスに移行すべきでしょうか?

レガシー式を移行する必要はありません。レガシー式と新しい式は共存し、追加的に利用できます。ただし、新しいインターフェイスはより合理化されており、場合によっては、1つの式で多くのレガシー式を置き換えられます。運用orgで変更を行う前に、Preview Orgで新しい式をテストしてください。

クレームがSAML設定やOIDC IDトークン設定に表示されなくなったのはなぜですか?

クレームはSAML設定またはOIDC IDトークン設定からアプリの[Sign On(サインオン)]タブに移動しました。[Attributes Statements(属性ステートメント)](SAML)または[Token claims(トークンクレーム)](OIDC)セクションで、[Show legacy configuration(レガシー構成を表示)]を展開します。

クレームが[General(一般)]タブに表示されなくなったのはなぜですか?

クレームは[General(一般)]タブから[Sign On(サインオン)]タブに移動しました。[Attributes Statements(属性ステートメント)](SAML)または[Token claims(トークンクレーム)](OIDC)セクションで、[Show legacy configuration(レガシー構成を表示)]を展開します。

アプリ統合を作成するときにSAML属性ステートメントやクレームを構成できないのはなぜですか?

これは現在[Sign On(サインオン)]タブで行われます。他の類似機能と同様、必要最小限の情報でアプリケーションを保存した後に構成できます。

関連項目

レガシー構成を使用してエンタイトルメントクレームを生成する

SAMLアプリ統合を作成する

OpenID Connectアプリ統合を作成する