カスタムIdPオーセンティケーター

管理者は、構成されたIDプロバイダーに基づいてカスタムSAMLまたはOIDC多要素認証オーセンティケーターを有効にできます。

IdPオーセンティケーターを有効にして多要素認証 登録ポリシーに追加すると、Oktaにサインインするユーザーがそれを使用してIDを検証できるようになります。エンド・ユーザーは、認証のためにIDプロバイダーに転送され、検証が成功するとOktaにリダイレクトされます。

この機能を使用すると、次のことが可能になります。

  • 既存のSAMLまたはOIDCベースのIdP認証用にカスタムIdPオーセンティ ケーターを追加する。
  • カスタム・オーセンティケーターを管理コンソールから有効または無効にする。
  • 既存のSAML 2.0 IdPまたはOIDC IdPをリンクして、カスタム・オーセンティケーター・プロバイダーとして使用する。

開始する前に

  • 目的のカスタム・オーセンティケーターを登録して構成するには、Oktaへの管理アクセス権が必要です。
  • 既存のIDプロバイダーを追加のステップアップ認証プロバイダーとして使用するには、そのプロバイダーが使用可能である必要があります。

SAMLおよびOIDCのクレーム

Oktaで想定されているSAMLおよびOIDCのクレームは次のとおりです。

  • SAML応答の場合、subjectNameIdクレームがOktaユーザー名にマッピングされます。
  • OIDC応答の場合、preferred_usernameクレームがOktaユーザー名にマッピングされます。

カスタムIdP オーセンティケーターの構成

カスタムIdP オーセンティケーターを設定するには、主に次の2つの手順があります。

  1. 多要素認証用にIdPを追加する
  2. IdP オーセンティケーターを有効にする

ステップ1: 多要素認証用IDプロバイダーの追加

  1. 多要素認証用にSAML IDプロバイダーを作成する方法の詳細については、「IDプロバイダー」を参照してください。このワークフローで、[IDプロバイダー] > [インバウンドSAMLの構成] > [ワークフロー] > [パート1:SAML IDプロバイダーの追加]に移動します。
  2. IdPの用途をFactorOnlyにしてIdP オーセンティケーターを作成します。JITの設定はサポートされないことに注意してください。
  3. 構成が完了したら、Oktaコンソールで[セキュリティー] > [IDプロバイダー]の順に進み、IDプロバイダーを追加します。
    OpenID Connect
  • OpenID Connectに関する一般的な情報については、「一般的なOpenID Connect」を参照してください。
  • OIDC IDプロバイダーの設定方法については、「一般的なOpenID Connect IDプロバイダー」を参照してください。
  • 構成が完了したら、Oktaコンソールで[セキュリティー] > [IDプロバイダー]の順に進み、IDプロバイダーに移動します。

ステップ2: カスタムIdP オーセンティケーターの有効化

  1. 管理コンソールで、[セキュリティー] > に移動します [オーセンティケーター]
  2. [オーセンティケーターを追加]をクリックします。
  3. [カスタムIdP][追加]をクリックします。
  4. メニューからIDプロバイダーを選択します。選択するIDプロバイダーを構成しておく必要があることに注意してください。
  5. IDプロバイダーが追加されたら、[保存]をクリックして構成を保存します。
  6. カスタム・オーセンティケーターのステータスを設定します。エンド・ユーザーに対して有効にする場合は[アクティブ]、無効にする場合は[非アクティブ]に設定します。

カスタム・オーセンティケーターをアクティブにしたら、[ オーセンティケーターの登録]に移動し、IdP要素を組織の多要素認証 登録ポリシーに追加します。

エンド・ユーザー・エクスペリエンス

  • 管理者がカスタム・オーセンティケーターを追加して有効にすると、エンド・ユーザーが次回サインインしたときにカスタム認証を設定するように求めらます。
  • エンド・ユーザーがオーセンティケーターを正しく設定すると、[設定] > [追加認証]に構成済みのオーセンティケーターとして表示されます。
  • オーセンティケーターは、エンド・ユーザーがオーセンティケーターの使用をトリガーした後に5分が経過するとタイムアウトします。この場合は、オーセンティケーターの使用を再度トリガーする必要があります。
  • Okta Mobile:組織でカスタムIdP 要素認証が有効になっている場合、Okta MobileはユーザーにPIN の設定を求めず、アプリUIの代わりにWebインターフェースが表示されます。ユーザーがOkta Mobileからアプリケーションをタップして起動することはできません。
  • Okta IWA Webエージェント:シングル・サインオン(SSO)用のOkta IWA エージェントでは、カスタムIdP要素認証を使用できません。
  • Device Trust:Device Trustとともに使用すると、カスタムIdP 要素認証が失敗します。

関連項目

IDプロバイダー

セキュリティー・ポリシー

多要素認証

一般的なセキュリティー

ネットワーク・セキュリティー