IDプロバイダーのルーティングルールを構成する

IDプロバイダー(IdP)ごとに、またはユーザー条件のさまざまな組み合わせに対してルーティングルールを構成します。デフォルトのルールでは、OktaがIdPに指定され、ルーティングルールの条件を満たさないユーザーに適用されます。

特定のIdPにバインドされないルーティングルールを作成するには、動的ルーティングルールの構成を参照してください。

開始する前に

ルーティングルールを追加する前に、 Okta IWA Webエージェント と少なくとも1つのIdPを構成する必要があります(ソーシャルIdPを利用できます)。SAML 2.0 IdPを追加する汎用OpenID Connectを参照してください。

利用できるIdPのリストと同じページでOktaユーザー名とパスワードの入力をユーザーに求める場合は、ユーザーがパスワード/任意のIDP(Password / Any IdP)(Okta sign-on policy)を使ってセッションを確立するようにOktaサインオンポリシー(Password / Any IdP)を構成します。この組み合わせは、OktaをIdPとして提供するルールや、デフォルトのルーティングルールを優先する場合に推奨されます。

ChromeBookのIdPディスカバリは、Okta IdPと、ChromeBookのサポートを公表しているサードパーティIdPのみをサポートします。Okta Mobileは、IdPディスカバリでの使用はサポートされません。

IPアドレスに基づいてユーザーをルーティングする場合は、少なくとも1つのネットワークゾーンを定義します。「ネットワークゾーン」を参照してください。

ルールを追加する

  1. Admin Consoleで、セキュリティ(Security) > IDプロバイダー(Identity Providers)に移動します。

  2. ルーティングルール([Routing Rules)]タブで、ルーティングルールを追加(Add Routing Rule)をクリックします。
  3. ルール名(Rule Name)を入力します。
  4. ルーティング条件を構成します。
    IF ユーザーのIP(User's IP is) ネットワークゾーンを選択します。
    AND ユーザーのデバイスプラットフォーム(User's device platform is) モバイルデバイスとデスクトップデバイスの任意の組み合わせを選択します。

    iOSデバイスはiOSルーティングルールをバイパスする場合があります。「macOSデバイス用のルーティングルールの構成」を参照してください。
    AND ユーザーがアクセスしています(User is accessing) アプリケーションまたはアプリインスタンスを追加します。アプリケーションの名前を入力すると、一致するアプリがすべて表示されます。
    AND ユーザーが一致(User matches) ユーザーが一致する必要のあるログイン属性を選択します。
    • Anythingにはすべてのユーザーが含まれます。
    • Regex on loginでは、ユーザーのログインに基づく有効な正規表現を入力して、これを照合に利用できます。これは、ドメインまたはユーザー属性の指定では照合に不十分な場合に便利です。たとえば、.*\+devtest@company.comはドメイン@company.comのログインに一致しますが、@記号の前に+devtestが含まれている場合のみです。
    • ログインに関するドメインリスト(Domain list on login)では、照合するドメインのリストを指定します(@記号は不要)。たとえば、mytest.comとなります。文字をエスケープする必要はありません(正規表現を使用する場合は必須)。
    • User attributesでは、一致する属性名、比較のタイプ、値を指定します。比較のタイプとしてRegexを選択した場合は、値に有効な正規表現を入力する必要があります。たとえば:Oktaユーザースキーマの 部署(Department) 属性として(Human Resources|Engineering|Marketing)を入力します。
    THEN このIDプロバイダーを使用(Use this identity provider) すべての条件が満たされた場合に使用するIdPを選択します。
  5. ルールを作成(Create Rule)をクリックし、ルールを直ちにアクティブ化するかどうかを指定します。

macOSデバイス用のルーティングルールの構成

Safariでデバイスユーザーエージェントを報告する方法が変更されたため、OktaではmacOSデバイスからのアプリリクエストとiPadOSデバイスのSafariからのアプリリクエストを区別できません。

iPadOSデバイスがiOSポリシーをバイパスしないようにするには、macOSおよびiPadOSデバイスに適用する拒否/キャッチオールルーティングルールを構成します。macOSアプリのルーティングルールがiPadOSデバイスユーザーを評価することがないように、これらのユーザーには、次のいずれかのオプションを実行する必要があることを伝えます。

  • オプション1:All websites accessed from Safari (iPadOS 13 and higher)(iPadOS 13以降(Safari)からアクセスされるすべてのWebサイト)。iPadの設定でSafari設定(Safari settings) > デスクトップ用Webサイトのリクエスト(Request Desktop Website)に移動し、すべてのWebサイト(All Websites)の設定をオフにします。
  • オプション2:Webサイト単位(Per-website basis)。Safariを開き、[Search(検索)]フィールドの左側のAaをタップし、モバイル用Webサイトをリクエスト(Request Mobile Website)をタップします。
  • オプション3:ネイティブアプリまたはOkta Mobileから対象アプリにアクセス。

関連項目

IDプロバイダーのルーティングルール

ルーティングルールを変更する

IDプロバイダー

動的ルーティングルールを構成する