アクセスポリシーを作成する
アクセスポリシーは、どのクライアントがAuthorization Serverとやり取りできるかを制御します。また、同ポリシーはアクセスルール(特定のスコープリクエストのみを許可するなど)も定義します。
- Authorization Serverの名前を選択します。
- [Access Policies(アクセスポリシー)]>[Add New Access Policy(新しいアクセスポリシーを追加)]の順に選択します。
- 必要な情報を入力します。
[Name(名前)]
説明
[All clients(すべてのクライアント)]に割り当てるか、[The Following clients:(次のクライアント:)]を選択して、このアクセスポリシーによってカバーされたクライアントの名前を入力します。
[Access Policy(アクセスポリシー)]リストでは、次のことができます。
- テストまたはデバッグの目的で、アクセスポリシーをアクティブまたは非アクティブに設定します。
- ポリシーを並べ替えて、ポリシーの評価順序を変更します。
Oktaは、これらのポリシーとポリシーに含まれるルールを指定された優先順位で評価します。最初のポリシーとルールが一致すると、Oktaはクライアントのリクエストを適用し、それ以降のルールまたはポリシー処理は行ないません。
各アクセスポリシーのルールを作成する
ルールは、クライアント、ユーザー、カスタムスコープのマッピングを制御します。たとえば、ユーザーがクライアントに割り当てられている場合にカスタムスコープScope1が有効になるように、アクセスポリシーのルールを指定できます。
ルールを作成すると、Oktaはそのルールをポリシー内ルールの優先順位最下位に割り当てます。このアクションは、新しいルールが既存ルールと一致するリクエストの妨げとならないようにするために行われます。
- Authorization Serverの名前を選択し、[Access Policies(アクセスポリシー)]を選択します。
- アクセスポリシーの名前を選択して、[Add Rule(ルールを追加)]を選択します。
- 必要な情報を入力します。
ルール名
IF[Grant type is(付与タイプ)]:クライアントが自身の代わりに動作するか、ユーザーの代わりに動作するかを選択します。両方を選択できます。クライアントがユーザーの代わりに機能している場合は、いずれかまたはすべての方法を選択します。
[Client-initiated backchannel authentication flow (CIBA)(クライアントによって開始されたバックチャンネル認証フロー(CIBA))]オプションを選択し、CIBA付与タイプで使用するオーセンティケーターを構成します。
早期アクセスリリース。「早期アクセス機能とBeta機能を管理する」を参照してください。
AND[User is(ユーザー)]:このオプションは、[Client acting on behalf of a user(ユーザーの代わりに機能するクライアント)]でオプションをオンにした場合にのみ表示されます。[Any user assigned to the app(アプリに割り当てられているユーザー)]を選択するか、さらにユーザーを定義します。
AND[Scopes requested(要求されるスコープ)]:ユーザーがいずれかの条件を満たした場合に付与されるスコープ(任意のスコープ、または指定したリスト)を選択します。
THEN[Use this inline hook(このインラインフックを使用)]:該当する場合は、インラインフックを選択します。「インラインフック」を参照してください。
AND [Access token lifetime is(アクセストークンのライフタイム)]:アクセストークンが期限切れになるまでの期間を選択します。
AND[Refresh token lifetime is(リフレッシュトークンのライフタイム)]:リフレッシュトークンの有効期限が切れるまでの期間を選択します。
[Refresh token lifetime(リフレッシュトークンのライフタイム)]で、指定されたライフタイムを検証して続行するためにトークンを使用する必要がある期間を入力します。
有効期限は、アクセストークンのライフタイムとリフレッシュトークンのライフタイムの範囲内である必要があります。最長有効期間は5年間です。有効期限内に使用されないトークンは、ライフタイムが無制限に設定されていても期限切れになります。
- [Create Rule(ルールを作成)]を選択してルールを保存します。
アクセスポリシーの[Rules(ルール)]リストで、以下を実行できます。
テストまたはデバッグのためにルールを非アクティブに設定します。
デフォルトポリシーのデフォルトルールを除き、ルールを並べ替えます。Oktaはルールを優先順位で評価するため、クライアント要求に一致する最初のポリシーの最初のルールが適用され、それ以上の処理は行われません。
サービスアプリケーション(クライアント認証情報フロー)にはユーザーがいません。このフローを使用する場合は、条件[No user(ユーザーなし)]を指定するルールが1つ以上あることを確認してください。
情報アイコンまたはルール名をクリックすると、ルールが適用されるユーザーとグループ、およびそれらのユーザーとグループに付与されるスコープが表示されます。