IDプロバイダーのルーティングルール
IDプロバイダー(IdP)のルーティングルールを使用して、ユーザーのロケーション、デバイス、メールドメイン、属性、アクセスしようとしているアプリなどに基づきエンドユーザーをIDプロバイダーに転送できます。
プロバイダーごとに、またはユーザー条件のさまざまな組み合わせに対してルールを作成できます。エンドユーザーがサインインしようとすると、アクティブなルールが評価され、当該ユーザーに最初に一致したルールが適用されます。
IdPルーティングルールは以下のシナリオで役立ちます。
- オンネットワークとオフネットワーク:ネットワークに接続していないユーザー向けに代替認証やレガシー認証を使用して、ネットワークに接続しているユーザー向けにOktaを使用できます。
- モバイルユーザー:デバイスで識別されるモバイルユーザーは、特定の機能を持つサードパーティのIDプロバイダーに認証を転送できます。
- ハブアンドスポーク組織:ハブアンドスポーク組織の「スポーク」組織で、ユーザー、アクティブディレクトリ、ポリシー、アプリ、ワークフローを管理できますが、それ以外の目的でWorkdayなどのアプリにアクセスする場合は、中央組織にアクセスする必要があります。ユーザーは、サービスプロバイダー起点の「ハブ」組織へのフローを使用してアプリから認証できます。このハブ組織は、ルーティングルールを使用して「スポーク」組織にシームレスに認証します(複数のOkta orgがある場合には、orgごとに個別のIDプロバイダーを使用してユーザーのグループの棲み分けを行えます)。
- デスクトップSSO:デスクトップユーザーをIntegrated Windows Authentication(IWA)に、モバイルユーザーをOktaに転送して認証できます。
- 複数の顧客組織:メールのサブドメインに基づいて、複数のorgから別のorgにユーザーを転送して認証できます。
- ユーザー属性による必要な検出:メールドメインが必ずしもIDプロバイダーと相関しない一部のB2Bシナリオで、ユーザー属性に基づいて認証をリダイレクトできます。
エンドユーザーエクスペリエンス
エンドユーザーのドメインや属性に基づいてプロバイダーを選択するようにIdPルーティングルールが構成されている場合、メールアドレスと短い名前を入力できる変更されたサインイン画面がエンドユーザーに表示されます。ルールに複数のプロバイダーを構成した場合、エンドユーザーには使用可能なIdPのリストが表示されます。サインインが設定された条件に対して評価され、ユーザーは目的のIDプロバイダーの適切なサインイン画面にリダイレクトされます。
ルールに対して複数のプロバイダーを構成し、グローバルセッションポリシーのプライマリ要素がパスワード/IDPである場合、エンドユーザーにはユーザー名とパスワードのフィールド、および使用可能なIdPのリストが表示されます。
ルーティングルールはエンドユーザーのサインインエクスペリエンスを改善しますが、セキュリティの強化には貢献しません。ルーティングルールとは別に、IdP用のユーザー認証ポリシーを構成する必要があります。