Passer le contexte de l'appareil en utilisant l'accès limité dans Okta Identity Engine

Version en accès anticipé

L'accès limité vous permet de configurer Okta pour qu'il transmette le contexte de l'appareil à certaines applications SAML par le biais de l'assertion SAML échangée pendant l'authentification. Les applications peuvent ensuite utiliser ces informations pour limiter l'accès à certains comportements spécifiques à l'application, tels que les permissions de modifier ou de télécharger des fichiers depuis l'application.

Remarque :

Si votre org utilise Classic Engine, consultez cette rubrique.

Cette fonctionnalité est compatible avec les appareils Windows, macOS, iOS et Android. Les intégrations d'applications SAML personnalisées et OIN sont capables d'utiliser l'attribut de contexte de l'appareil pour autoriser ou bloquer l'accès en fonction de vos configurations.

Remarque :

Les organisations qui ont migré depuis Okta Classic Engine vers Okta Identity Engine doivent reconfigurer manuellement le Langage d'expression pour garantir que le résultat est correct. Consultez Langage d'expression Okta Aperçu.

Avant de commencer

Dans l'Admin Console, accédez à Paramètres > Fonctionnalités et activez Envoyer le contexte de l'appareil via des applications SAML.
Accédez à Sécurité > Intégrations d'appareils et assurez-vous que l'attestation de gestion des appareils est activée. Consultez Attestation de gestion pour les appareils de bureau et Attestation de gestion pour les appareils mobiles.
Configurez une politique de connexion aux appareils avec la gestion des appareils activée. Consultez Ajouter une règle de politique de connexion à l'app pour les appareils de bureau et Ajouter une règle de politique de connexion à l'app pour mobile.
Configurez l'application externe pour consommer le contexte de l'appareil reçu dans l'assertion SAML et spécifiez les comportements que vous souhaitez contrôler en fonction de ce contexte.

Pour plus d'informations, consultez Appareils gérés et sélectionnez la rubrique appropriée pour votre org.

Valeurs d'attribut prises en charge

Lorsque cette fonctionnalité est configurée, Okta transmet l'une des valeurs d'attribut suivantes à l'application externe dans l'assertion SAML, en fonction des Instructions d'attribut et de la politique d'authentification d'applications que vous avez configurée dans Okta.

Valeur de l'attribut	Définition
`true`	L'appareil de l'utilisateur est géré tel que défini par la politique d'authentification d'applications Okta.
`false`	L'appareil de l'utilisateur n'est pas géré tel que défini par la politique d'authentification d'applications Okta.
`null`	Le contexte de l'appareil est inconnu car une ou deux des situations suivantes sont vraies : L'attestation de gestion des appareils n'est pas activée pour le type d'appareil donné. L'attestation de gestion des appareils n'est pas configurée dans la politique de connexion à l'application .

La valeur de l'attribut transmise à l'application externe est appliquée pendant toute la durée de la session.

Remarque :

Utilisez Okta Expression Language pour mapper la terminologie Okta à la terminologie spécifique au fournisseur.

Ajoutez une instruction d'attribut

Si vous ne l'avez pas encore fait, créez une intégration d'application personnalisée ou ajoutez une intégration d'application OIN via Admin Console.
- Pour créer une intégration d'application SAML personnalisée, consultez Créer des intégrations d'application SAML.
- Pour ajouter une intégration d'application OIN, consultez Ajouter des intégrations d'application existantes. Votre application externe doit prendre en charge SAML.
Ajouter une Instructions d'attribut à l'intégration d'application. Pour plus d'informations, consultez Créer des intégrations d'application SAML. Vous pouvez ajouter la déclaration lors de la création d'une intégration d'application ou de la modification d'une intégration d'application existante.

Déclarations d'attribut

Ce processus varie en fonction de l'intégration d'application que vous créez ou modifiez.

Modifier une intégration d'application personnalisée

Dans l'Admin Dashboard, accédez à Applications > Applications.
Cliquez sur l'app SAML personnalisée que vous souhaitez modifier.
Cliquez sur l'onglet Général. Faites défiler jusqu'à la section Paramètres SAML, puis cliquez sur Modifier.
Cliquez sur Suivant.
Faites défiler jusqu'à la section Instructions d'attribut.
Dans le champ Nom, saisissez le nom de l'attribut. La longueur maximum de ce champ est de 512 caractères et le nom de l'attribut doit être unique dans l'ensemble des instructions d'attributs d'utilisateur et de groupe
Sélectionnez le format de nom Unspecified.
Dans le champ Valeur, saisissez device.profile.managed. Utilisez Langage d'expression Okta pour transformer la valeur selon les besoins de votre cas d'utilisation. La longueur maximale de ce champ est de 1 024 caractères.

Modifier une intégration d'application OIN

Dans l'Admin Dashboard, accédez à Applications > Applications.
Cliquez sur l'intégration d'application OIN SAML.
Cliquez sur l'onglet Authentification, puis sur Modifier.
Faites défiler jusqu'à la section Instructions d'attribut.
Dans le champ Nom, saisissez le nom de l'attribut. La longueur maximum de ce champ est de 512 caractères et le nom de l'attribut doit être unique dans l'ensemble des instructions d'attributs d'utilisateur et de groupe
Sélectionnez le format de nom Unspecified.
Dans le champ Value (Valeur []), sélectionnez device.profile.managed. Utilisez Langage d'expression Okta pour transformer la valeur selon les besoins de votre cas d'utilisation. La longueur maximale de ce champ est de 1 024 caractères.

Transformer la valeur de l'attribut

Vous pouvez utiliser Okta Expression Language pour transformer la valeur selon les besoins de votre cas d'utilisation. Par exemple, pour mapper les termes Okta d'un contexte d'approbation d'appareil à des termes Salesforce pertinents, saisissez cette déclaration dans le champ Valeur :

device.profile.managed == true ? "HIGH ASSURANCE" : "STANDARD"

L'énoncé ci-dessus transforme les termes comme suit :

Attribut de contexte d'appareil Okta	Terme Salesforce
`true`	HIGH ASSURANCE
`false`	STANDARD
`null`	STANDARD

Pour ajouter une ligne de déclarations supplémentaire, cliquez sur Ajouter un autre. Répétez cette opération jusqu'à ce que tous les attributs nécessaires soient définis.

Enregistrez vos modifications en cliquant sur Suivant, puis cliquez sur Terminer lorsque vous avez terminé.

Détails des instructions d'attribut

Voici une instruction d'attributs envoyée à une application externe via l'assertion SAML qui montre le contexte d'un appareil non approuvé :

<?xml version="1.0"?>
<saml2:AttributeStatement xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
  <saml2:Attribute Name="device.profile.managed" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
    <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">
      false
    </saml2:AttributeValue>
  </saml2:Attribute>
</saml2:AttributeStatement>

Rubriques connexes

Appareils gérés

Créer des intégrations d'application SAML

Ajouter les intégrations d'application existantes

Langage d'expression Okta