アクセスポリシーを作成する

アクセスポリシーは、どのクライアントが認可サーバーとやり取りできるかを制御します。これには、アクセスルール(特定のスコープリクエストのみを許可するなど)も含まれます。

  1. 認可サーバーの名前を入力します。
  2. [Access Policies(アクセスポリシー)][Add New Access Policy(新しいアクセスポリシーを追加)]に移動します。
  3. [Name(名前)]フィールドに名前を入力します。
  4. [Description(説明)]フィールドに説明を入力します。
  5. すべてのクライアントにポリシーを割り当てるか、[The following clients(次のクライアント)]を選択してフィールドにクライアントの名前を入力します。

各アクセスポリシーのルールを作成する

ルールは、クライアント、ユーザー、カスタムスコープのマッピングを制御します。たとえば、ユーザーがクライアントに割り当てられている場合にカスタムスコープScope1は有効、というアクセスポリシールールを指定できます。

ルールを作成すると、Oktaはそのルールをポリシー内ルールの最低の優先順位に割り当てます。これにより、既存のルールに一致するリクエストが妨げられなくなります。

  1. 承認サーバーの名前を選択し、[Access Policies(アクセスポリシー)]を選択します。
  2. アクセスポリシーの名前を選択し、[Add Rule(ルールを追加)]を選択します。
  3. 次の情報を入力します。

    • [Rule Name(ルール名)]

    • IF[Grant type is(付与タイプ)]:使用する付与タイプを選択します。その他の付与タイプを表示するには、[Advanced(詳細設定)]をクリックします。各付与タイプの説明については、「直接認証付与タイプを構成する」を参照してください。

    • AND[User is(ユーザー)]:このオプションは、[ユーザーの代わりに機能するクライアント]下位のオプションを選択した場合にのみ表示されます。[アプリに割り当てられているユーザー]を選択するか、さらにユーザーを定義します。サービスアプリ(クライアント資格情報フロー)にはユーザーがいません。このフローを使用するときは、条件[No user(ユーザーなし)]を指定するルールが1つ以上あることを確認してください。

    • AND[Scopes requested(要求されるスコープ)]:ユーザーがいずれかの条件を満たした場合に付与されるスコープ(任意のスコープ、または指定したリスト)を選択します。

    • THEN[Use this inline hook(このインラインフックを使用)]:該当する場合は、インラインフックを選択します。「インラインフック」を参照してください。

    • AND [Access token lifetime is(アクセストークンのライフタイム)]:アクセストークンが期限切れになるまでの期間を選択します。

    • AND[Refresh token lifetime is(リフレッシュトークンのライフタイム)]:リフレッシュトークンの有効期限が切れるまでの期間を選択します。指定されたライフタイムを検証して続行するためにトークンを使用する必要がある期間を入力します。

      有効期限は、アクセストークンのライフタイムとリフレッシュトークンのライフタイムの範囲内である必要があります。最長有効期間は5年間です。

  4. [Create Rule(ルールを作成)]をクリックします。