IdPオーセンティケーターを構成する

IdPオーセンティケーターにより、管理者はOIDCまたはSAML IDプロバイダー(IdP)による認証を追加の検証として有効にできます。構成すると、エンド・ユーザーには追加の検証にIDプロバイダーを使用するオプションが表示され、検証のためにそのIDプロバイダーにリダイレクトされます。この検証により、認証が別のパスワード以外のオーセンティケーター(Okta Verifyなど)に置き換えられます。

IdPオーセンティケーターを有効にして認証登録ポリシーに追加すると、ユーザーはOktaにサインインするときにそれを使用してIDを検証できるようになります。エンド・ユーザーは、認証のためにIDプロバイダーに転送され、検証が成功するとOktaにリダイレクトされます。

このオーセンティケーターにより、次のことができるようになります。

  • 既存のSAMLまたはOIDCベースのIdP認証用にIdPオーセンティ ケーターを追加する。
  • 既存のSAML 2.0 IdPまたはOIDC IdPをリンクして、IdPオーセンティケータープロバイダーとして使用する。

開始する前に

  • IdPオーセンティケーターを登録して構成するには、Oktaへの管理アクセス権が必要です。
  • 既存のIDプロバイダーを追加のステップアップ認証プロバイダーとして使用するには、そのプロバイダーが使用可能である必要があります。

SAMLおよびOIDCのクレームのマッピング

Oktaで想定されているSAMLおよびOIDCのクレームは次のとおりです。

  • SAMLレスポンスの場合、subjectNameIdクレームがOktaユーザー名にマッピングされます。
  • OIDCレスポンスの場合、preferred_usernameクレームがOktaユーザー名にマッピングされます。

IdPオーセンティケーターを構成する

IdPオーセンティケーターを構成するには、次の2つの段階があります。

  1. OktaにIDプロバイダーを追加する。
  2. IdPオーセンティケーターを有効にする。

ステップ1:OktaにIDプロバイダーを追加する。

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Identity Providers(IDプロバイダー)]に移動します。

  2. [Add identity provider(IDプロバイダーを追加)]をクリックし、追加するIDプロバイダーを選択します。
  3. [Next(次へ)]をクリックします。IDプロバイダーのセットアップ・ページが表示されます。

  • 各IDプロバイダーページには、そのIDプロバイダーのセットアップ手順へのリンクが含まれています。この手順を読んでIDプロバイダーの構成方法を確認することをお勧めします。
  • 各IDプロバイダー・ページの[General Settings(一般設定)]セクションで、[IdP Usage(IdPの用途)]ドロップダウンから[Factor only(要素のみ)]オプションを選択します。IdPオーセンティケーターで[SSO only(SSOのみ)]オプションを使用することはできません。
  • JIT設定は、IdPオーセンティケーターではサポートされません。

ステップ2:IdPオーセンティケーターを有効にする

IdPオーセンティケーターを有効にする前に、ステップ1の説明に従ってIDプロバイダーを追加する必要があります。

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
  2. [Add authenticator(オーセンティケーターを追加)]をクリックします。
  3. [IdP Authenticator(IdPオーセンティケーター)]タイルの[Add(追加)]をクリックします。
  4. メニューからIDプロバイダーを選択します。これらはこの手順のステップ1で追加したIDプロバイダーです。
  5. [Save(保存)]をクリックします。
  6. オーセンティケータ-登録ポリシーでIdPオーセンティケーターの設定を構成します。手順については、「認証登録ポリシーを作成する」を参照してください。

エンド・ユーザー・エクスペリエンス

  • エンド・ユーザーは、次回サインインしたときにIdPオーセンティケーター認証に登録するよう求められます。
  • エンド・ユーザーがIdPオーセンティケーターに登録すると、[Security Methods(セキュリティ・メソッド)]セクションの[Settings(設定)]ページにそのIdPオーセンティケーターが表示されます。
  • IdPオーセンティケーターは、エンド・ユーザーがIdPオーセンティケーターの使用をトリガーした後、非アクティブの状態で5分経過するとタイムアウトします。この場合は、IdPオーセンティケーターの使用を再度トリガーする必要があります。

制限事項

IdPオーセンティケーターは、以下の場合には使用できません。

  • このオーセンティケーターとOkta Integrated Windows Authenticationエージェント(IWA)を組み合わせてデスクトップ・シングル・サインオンを実現することはできません。
  • 「MFAによる信頼できない許可」構成を使用するデバイスの信頼の統合は失敗します。
  • RDP向けMFA、ADFS向けMFA、RADIUSログイン、その他のブラウザー・ベースでないサインイン・フローでは、IdPオーセンティケーターはサポートされません。
  • IdPオーセンティケーターでは、Microsoft Azure Active Directory(AD)をIDプロバイダーとして使用することはできません。Microsoft Azure ADをIDプロバイダーとして使用するには、「Azure Active DirectoryをIDプロバイダーにする」を参照してください。

関連項目

IDプロバイダー

サインオンのポリシーとルール

認証

一般的なセキュリティ

ネットワークゾーン