IdPオーセンティケーターを構成する
IdPオーセンティケーターにより、管理者はOIDCまたはSAML IDプロバイダー(IdP)による認証を追加の検証として有効にできます。構成すると、エンド・ユーザーには追加の検証にIDプロバイダーを使用するオプションが表示され、検証のためにそのIDプロバイダーにリダイレクトされます。この検証により、認証が別のパスワード以外のオーセンティケーター(Okta Verifyなど)に置き換えられます。
IdPオーセンティケーターを有効にして認証登録ポリシーに追加すると、ユーザーはOktaにサインインするときにそれを使用してIDを検証できるようになります。エンド・ユーザーは、認証のためにIDプロバイダーに転送され、検証が成功するとOktaにリダイレクトされます。
このオーセンティケーターにより、次のことができるようになります。
- 既存のSAMLまたはOIDCベースのIdP認証用にIdPオーセンティ ケーターを追加する。
- 既存のSAML 2.0 IdPまたはOIDC IdPをリンクして、IdPオーセンティケータープロバイダーとして使用する。
開始する前に
- IdPオーセンティケーターを登録して構成するには、Oktaへの管理アクセス権が必要です。
- 既存のIDプロバイダーを追加のステップアップ認証プロバイダーとして使用するには、そのプロバイダーが使用可能である必要があります。
SAMLおよびOIDCのクレームのマッピング
Oktaで想定されているSAMLおよびOIDCのクレームは次のとおりです。
- SAMLレスポンスの場合、subjectNameIdクレームがOktaユーザー名にマッピングされます。
- OIDCレスポンスの場合、preferred_usernameクレームがOktaユーザー名にマッピングされます。
IdPオーセンティケーターを構成する
IdPオーセンティケーターを構成するには、次の2つの段階があります。
- OktaにIDプロバイダーを追加する。
- IdPオーセンティケーターを有効にする。
ステップ1:OktaにIDプロバイダーを追加する。
-
Okta Admin Consoleで、[Security(セキュリティ)]>[Identity Providers(IDプロバイダー)]に移動します。
- [Add identity provider(IDプロバイダーを追加)]をクリックし、追加するIDプロバイダーを選択します。
- [Next(次へ)]をクリックします。IDプロバイダーのセットアップ・ページが表示されます。
- 各IDプロバイダーページには、そのIDプロバイダーのセットアップ手順へのリンクが含まれています。この手順を読んでIDプロバイダーの構成方法を確認することをお勧めします。
- 各IDプロバイダー・ページの[General Settings(一般設定)]セクションで、[IdP Usage(IdPの用途)]ドロップダウンから[Factor only(要素のみ)]オプションを選択します。IdPオーセンティケーターで[SSO only(SSOのみ)]オプションを使用することはできません。
- JIT設定は、IdPオーセンティケーターではサポートされません。
ステップ2:IdPオーセンティケーターを有効にする
IdPオーセンティケーターを有効にする前に、ステップ1の説明に従ってIDプロバイダーを追加する必要があります。
- Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- [Add authenticator(オーセンティケーターを追加)]をクリックします。
- [IdP Authenticator(IdPオーセンティケーター)]タイルの[Add(追加)]をクリックします。
- メニューからIDプロバイダーを選択します。これらはこの手順のステップ1で追加したIDプロバイダーです。
- [Save(保存)]をクリックします。
- オーセンティケータ-登録ポリシーでIdPオーセンティケーターの設定を構成します。手順については、「認証登録ポリシーを作成する」を参照してください。
エンド・ユーザー・エクスペリエンス
- エンド・ユーザーは、次回サインインしたときにIdPオーセンティケーター認証に登録するよう求められます。
- エンド・ユーザーがIdPオーセンティケーターに登録すると、[Security Methods(セキュリティ・メソッド)]セクションの[Settings(設定)]ページにそのIdPオーセンティケーターが表示されます。
- IdPオーセンティケーターは、エンド・ユーザーがIdPオーセンティケーターの使用をトリガーした後、非アクティブの状態で5分経過するとタイムアウトします。この場合は、IdPオーセンティケーターの使用を再度トリガーする必要があります。
制限事項
IdPオーセンティケーターは、以下の場合には使用できません。
- このオーセンティケーターとOkta Integrated Windows Authenticationエージェント(IWA)を組み合わせてデスクトップ・シングル・サインオンを実現することはできません。
- 「MFAによる信頼できない許可」構成を使用するデバイスの信頼の統合は失敗します。
- RDP向けMFA、ADFS向けMFA、RADIUSログイン、その他のブラウザー・ベースでないサインイン・フローでは、IdPオーセンティケーターはサポートされません。
- IdPオーセンティケーターでは、Microsoft Azure Active Directory(AD)をIDプロバイダーとして使用することはできません。Microsoft Azure ADをIDプロバイダーとして使用するには、「Azure Active DirectoryをIDプロバイダーにする」を参照してください。