動的認証コンテキストを渡す
アプリ認証中にSAMLアサーションを通じて動的認証コンテキストをSAMLアプリに渡すことができます。アプリでは、この情報を使用して、特定のアプリ固有の動作へのアクセスを制限することや、ログインしているユーザーのリスクプロファイルを計算することができます。
この機能は、カスタムとOINソース両方のSAMLアプリ統合で機能します。これは、Okta Expression Languageクレームを介して公開され、カスタムSAML属性として構成できます。認証中に使用される要素の数に応じて、この属性でアサーションに1つまたは複数の値を生成できます(「アサーションの例」を参照)。
開発者は、Okta Apps APIを使用してカスタム属性を構成することもできます。認証コンテキストを渡すプロセスは、OIDCアプリで認証方法参照(amr)を含むクレームを使用する場合と似ています。
動的認証方法参照を有効にする
- まだ行っていない場合は、Okta Admin Consoleからカスタムアプリ統合を作成するか、OINアプリ統合を追加します。
- カスタムSAMLアプリ統合を作成するには、「SAMLアプリ統合を作成する」を参照してください。
- OINアプリ統合の追加については、「既存のアプリ統合を追加する」を参照してください。外部アプリがSAMLをサポートしている必要があります。
- アプリ統合に属性ステートメントを追加します(詳細については、「グループ属性ステートメントを定義する」を参照)。
新しいアプリ統合を作成する際にステートメントを追加したり、既存のアプリ統合を編集したりできます。
- Admin Consoleで、 に移動します。
- カスタムSAMLアプリをクリックします。
- [General(一般)]タブに移動し、[SAML Settings(SAMLの設定)]セクションまでスクロールして、[Edit(編集)]をクリックします。
- [Next(次へ)]をクリックします。
- [Attribute Statements (Optional)(属性ステートメント(オプション))]セクションまでスクロールします。
- Admin Consoleで、 に移動します。
- OIN SAMLアプリ統合をクリックします。
- [Sign On(サインオン)]タブに移動して、[Edit(編集)]をクリックします。
- [Attribute Statements (Optional)(属性ステートメント(オプション))]セクションまでスクロールします。
- [Name(名前)]に、追加する属性の名前を入力します。
- [Name format(名前の形式)]で[Unspecified(指定なし)]を選択します。
新しいアプリ統合の場合:
手順2:SAMLを構成するで[Attribute Statements (Optional)(属性ステートメント(オプション))]セクションまでスクロールします。
既存のアプリ統合の場合:
カスタムアプリ統合とOINアプリ統合のどちらを編集するかによって手順が異なります。
カスタムアプリ統合を編集する場合:
OINアプリ統合を編集する場合:
このフィールドの最大文字数は512文字です。Name属性は、ユーザーとグループの属性ステートメント全体で一意である必要があります。
- [Value(値)]に「session.amr」と入力します。
- [Next(次へ)]をクリックします。
- [Finish(終了)]をクリックします。
アサーションの例
以下のアサーションの抜粋は、amr属性ステートメントの単一値と複数値の認証コンテキスト属性の例を示しています。
パスワードのみを使用する場合:
<saml:Attribute Name="amr" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <saml:AttributeValue xsi:type="xs:string">pwd</saml:AttributeValue </saml:Attribute>パスワードとともにOkta Verifyを第2要素として使用する場合:
<saml:Attribute Name="amr" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <saml:AttributeValue xsi:type="xs:string">pwd</saml:AttributeValue> <saml:AttributeValue xsi:type="xs:string">mfa</saml:AttributeValue> <saml:AttributeValue xsi:type="xs:string">swk</saml:AttributeValue> </saml:Attribute>現在、Oktaでは、プライマリIDプロバイダー(IdP)認証に対して、動的SAML認証コンテキストとスマートカードのみがサポートされています。たとえば、連携認証IdPを使用してアプリにサインインし、動的SAMLを使用する場合、アサーションにはデフォルト値としてpwdのみが含まれます。同様に、スマートカードを使用する場合、アサーションにはデフォルト値としてscのみが含まれます。