IDプロバイダーのルーティングルールを構成する

IDプロバイダー（IdP）ごとに、またはユーザー条件のさまざまな組み合わせに対してルーティングルールを構成します。デフォルトのルールでは、OktaがIdPに指定され、ルーティングルールの条件を満たさないユーザーに適用されます。

特定のIdPにバインドされないルーティングルールを作成するには、「動的ルーティングルールの構成」を参照してください。

はじめに

利用できるIDプロバイダーのリストと同じページでOktaユーザー名とパスワードの入力をユーザーに求めるには、ユーザーが［A password（パスワード］を使ってセッションを確立できるようにグローバルセッションポリシーを構成します。これは、IdPとしてOktaを提供するルールや、デフォルトのルーティングルールを優先する場合に推奨されます。

ChromeBookのIdPディスカバリでは、Okta IdPと、ChromeBookのサポートを公表しているサードパーティIdPのみがサポートされます。

IPアドレスに基づいてユーザーをルーティングする場合は、少なくとも1つのネットワークゾーンを定義します。「ネットワークゾーン」を参照してください。

ルールの追加

Admin Consoleで、［Security（セキュリティ）］［Identity Providers（IDプロバイダー）］に移動します。
［Routing Rules（ルーティングルール）］タブで、［Add Routing Rule（ルーティングルールを追加）］をクリックします。
［Rule Name（ルール名）］を入力します。

ルーティング条件を構成します。

IF ［User's IP is（ユーザーのIPが次の場合）］ネットワークゾーンを選択します。 AND ［User's device platform is（ユーザーのデバイスプラットフォーム）］モバイルデバイスとデスクトップデバイスの任意の組み合わせを選択します。 iOSデバイスはiOSルーティングルールをバイパスする場合があります。「macOSデバイス用のルーティングルールの構成」を参照してください。 AND ［User is accessing（ユーザーがアクセスしています）］アプリケーションまたはアプリインスタンスを追加します。アプリケーションの名前を入力すると、一致するアプリがすべて表示されます。 AND ［User matches（ユーザーが一致）］ユーザーが一致する必要のあるログイン属性を選択します。 ［Anything］にはすべてのユーザーが含まれます。 ［Regex on login］では、ユーザーのログインに基づく有効な正規表現を入力して、これを照合に利用できます。これは、ドメインまたはユーザー属性の指定では照合に不十分な場合に便利です。たとえば、.*\+devtest@company.comはドメイン@company.comのログインに一致しますが、@記号の前に+devtestが含まれている場合のみです。 ［Domain list on login］では、照合するドメインのリストを指定します（@記号は不要）。たとえば、mytest.comとなります。文字をエスケープする必要はありません（正規表現を使用する場合は必須）。 ［User attributes］では、一致する属性名、比較のタイプ、値を指定します。比較のタイプとしてRegexを選択した場合は、値に有効な正規表現を入力する必要があります。たとえば：Oktaユーザースキーマの［Department］属性として(Human Resources|Engineering|Marketing)を入力します。 さらに、THEN ［Use this identity provider］を入力しますすべての条件が満たされた場合に利用可能にするIdPを1つ以上選択します。複数のIdPを追加すると、ユーザーはサインイン時にいずれか1つを選択できます。条件をAND ［User matches］に構成したときは、単一のIdPを使用する必要があります。

［Create Rule（ルールを作成）］をクリックし、ルールを直ちにアクティブ化するかどうかを指定します。

macOSデバイス用のルーティングルールの構成

Safariでデバイスユーザーエージェントを報告する方法が変更されたため、OktaではmacOSデバイスからのアプリリクエストとiPadOSデバイスのSafariからのアプリリクエストを区別できません。

iPadOSデバイスがiOSポリシーをバイパスしないようにするには、macOSおよびiPadOSデバイスに適用する拒否/キャッチオールルーティングルールを構成します。macOSアプリのルーティングルールがiPadOSデバイスユーザーを評価することがないように、これらのユーザーには、次のいずれかのオプションを実行する必要があることを伝えます。

オプション1：［All websites accessed from Safari (iPadOS 13 and higher)（Safari（iPadOS 13以降）からアクセスされるすべてのWebサイト）］。iPadの設定で［Safari settings（Safari設定）］>［Request Desktop Website（デスクトップ用Webサイトのリクエスト）］に移動し、［All Websites（すべてのWebサイト）］の設定をオフにします。
オプション2：［Per-website basis（Webサイト単位）］。Safariを開いて［Search（検索）］フィールドの左側の［Aa］をタップし、［Request Mobile Website（モバイル用Webサイトをリクエスト）］をタップします。

`IF` ［User's IP is（ユーザーのIPが次の場合）］	ネットワークゾーンを選択します。
`AND` ［User's device platform is（ユーザーのデバイスプラットフォーム）］	モバイルデバイスとデスクトップデバイスの任意の組み合わせを選択します。 iOSデバイスはiOSルーティングルールをバイパスする場合があります。「macOSデバイス用のルーティングルールの構成」を参照してください。
`AND` ［User is accessing（ユーザーがアクセスしています）］	アプリケーションまたはアプリインスタンスを追加します。アプリケーションの名前を入力すると、一致するアプリがすべて表示されます。
`AND` ［User matches（ユーザーが一致）］	ユーザーが一致する必要のあるログイン属性を選択します。［Anything］にはすべてのユーザーが含まれます。［Regex on login］では、ユーザーのログインに基づく有効な正規表現を入力して、これを照合に利用できます。これは、ドメインまたはユーザー属性の指定では照合に不十分な場合に便利です。たとえば、.*\+devtest@company.comはドメイン@company.comのログインに一致しますが、@記号の前に+devtestが含まれている場合のみです。［Domain list on login］では、照合するドメインのリストを指定します（@記号は不要）。たとえば、mytest.comとなります。文字をエスケープする必要はありません（正規表現を使用する場合は必須）。［User attributes］では、一致する属性名、比較のタイプ、値を指定します。比較のタイプとしてRegexを選択した場合は、値に有効な正規表現を入力する必要があります。たとえば：Oktaユーザースキーマの［Department］属性として(Human Resources\|Engineering\|Marketing)を入力します。
さらに、`THEN` ［Use this identity provider］を入力します	すべての条件が満たされた場合に利用可能にするIdPを1つ以上選択します。複数のIdPを追加すると、ユーザーはサインイン時にいずれか1つを選択できます。条件を`AND` ［User matches］に構成したときは、単一のIdPを使用する必要があります。

IDプロバイダーのルーティングルールを構成する

はじめに

ルールの追加

macOSデバイス用のルーティングルールの構成

関連項目