Configurer les règles de routage du fournisseur d’identité

Configurez des règles de routage pour chacun de vos fournisseurs d'identité (IdP) ou pour différentes combinaisons de critères utilisateur. La règle par défaut indique Okta comme IdP et elle s'applique à tout utilisateur qui ne remplit pas les conditions de vos règles de routage.

Pour créer des règles de routage qui ne sont pas liées à un IdP spécifique, consultez Configurer des règles de routage dynamiques.

Avant de commencer

Si vous souhaitez demander aux utilisateurs leur nom d’utilisateur et mot de passe Okta sur la même page que la liste de vos fournisseurs d’identité disponibles, configurez votre Politique de session globale pour que les utilisateurs établissent une session avec Un mot de passe. Cette combinaison est recommandée pour les règles qui proposent Okta comme IdP ou si vous avez l'intention de prioriser la règle de routage par défaut.

Notez que IdP Discovery sur ChromeBook prend uniquement en charge le IdP Okta et les fournisseurs d'identité tiers qui ont déclaré prendre en charge ChromeBook.

Si vous souhaitez router les utilisateurs selon une adresse IP, définissez au moins une zone réseau. Consultez la section Zones réseau.

Ajouter une règle

  1. Dans l'Admin Console, accédez à Sécurité > Fournisseurs d'identité.

  2. Dans l’onglet Règles de routage, cliquez sur Ajouter une règle de routage.
  3. Saisissez un Nom de la règle.
  4. Configurez les conditions de routage.
    IF L’adresse IP de l’utilisateur est Sélectionnez une zone réseau.
    AND La plateforme d’appareil de l’utilisateur est Sélectionnez une combinaison quelconque d’appareils mobiles et de bureau.

    Les appareils iOS peuvent contourner vos règles de routage iOS. Consultez Configurer une règle de routage pour les appareils macOS.
    AND L’utilisateur accède à Pour ajouter une application ou une instance d’application, commencez à saisir le nom de l’application. Une liste de toutes les applications correspondantes s’affiche.
    AND L’utilisateur correspond à Sélectionnez les attributs de connexion que l’utilisateur doit faire correspondre.
    • N'importe quel élément inclut tous les utilisateurs.
    • L'expression régulière lors de la connexion vous permet de saisir une expression régulière valide basée sur la connexion utilisateur à utiliser pour la correspondance. C’est utile lorsque la spécification du domaine ou d’un attribut utilisateur ne suffit pas pour la correspondance. Par exemple, .*\+devtest@company.com fait correspondre les identifiants du domaine @company.com,  mais uniquement si +devtest est inclus avant le signe @.
    • Liste de domaines à la connexion spécifie la liste des domaines à faire correspondre (sans le signe @) ; par exemple, mytest.com. Il n’est pas nécessaire d’échapper des caractères (comme requis avec une expression régulière).
    • Attributs utilisateur spécifie un nom d'attribut, un type de comparaison et une valeur avec laquelle une correspondance doit être établie. Si vous choisissez Regex comme type de comparaison, vous devez saisir une expression régulière valide pour la valeur. Par exemple, saisissez (Human Resources|Engineering|Marketing) pour l’attribut Service dans votre schéma utilisateur Okta.
    THEN Utiliser ce fournisseur d’identité

    Sélectionnez un ou plusieurs IdP à proposer lorsque toutes les conditions sont remplies. L’ajout de plusieurs IdP permet aux utilisateurs d’en choisir un lors de la connexion. Si vous configurez une condition dans AND L’utilisateur correspond à, vous devez utiliser un seul IdP.

    Optionnel : sélectionnez Si le fournisseur d’identité choisi échoue à l’authentification, utiliser Okta comme fournisseur d’identité de repli. Lorsque cette option est activée, les utilisateurs sont redirigés vers Okta pour l’authentification si les IdP externes échouent pour l’un des motifs suivants :

    Version en accès anticipé. Consultez Activer les fonctionnalités en libre-service.

    • Échec d'authentification : l’IdP rejette explicitement la tentative de l’utilisateur. Par exemple, des identifiants non valides, un échec de MFA ou un refus de politique.

    • Échec de la vérification : l’IdP ne peut pas vérifier silencieusement une session. Par exemple, lors d'une demande OIDC prompt=none ou d'une requête SAML IsPassive=true.
  5. Cliquez sur Créer une règle, puis indiquez si vous souhaitez activer la règle immédiatement.

Configurer une règle de routage pour les appareils macOS

En raison d'un changement dans la façon dont Safari signale les agents utilisateur des appareils, Okta ne peut pas distinguer les demandes d'application qui proviennent d'appareils MacOS de celles qui proviennent de Safari depuis un iPadOS.

Afin d'empêcher le contournement des politiques iOS par un iPadOS, configurez une règle de routage Deny/Catch-All qui s'applique aux appareils macOS et iPadOS. Afin d'éviter que les utilisateurs d'appareils iPadOS ne soient touchés par vos règles de routage pour les applications macOS, informez-les qu'ils doivent suivre l'une des options suivantes.

  • Option 1 : Tous les sites Web consultés depuis Safari (iPadOS 13 et versions ultérieures). Dans les réglages iPad, accédez à Paramètres Safari > Demander le site Web de bureau, puis désactivez le réglage Tous les sites Web.
  • Option 2 : Par site Web. Ouvrez Safari, saisissez Aa à gauche de la barre de recherche, puis saissezDemander la version mobile du site Web.

Rubriques connexes

Règles de routage du fournisseur d'identité

Modifier les règles de routage

Fournisseurs d'identité

Configurer les règles de routage dynamiques