再認証のためにフェデレーションユーザーをIdPにリダイレクトする
早期アクセスリリース
アプリサインインポリシーまたはOkta Account Managementポリシーでユーザーの再認証が求められる場合、OktaはorgのローカルAuthenticatorを使った再認証をユーザーに求めます。
ただし、サードパーティIDプロバイダー(IdP)またはOkta Org2Org IdPを介してOktaセッションが確立されたフェデレーションユーザーは、ローカルのOkta Authenticatorが登録されていないことがよくあります。これにより、フェデレーションユーザーが再認証する必要があるときにエラーメッセージが発生し、ユーザーエクスペリエンスの妨げになります。
フェデレーションユーザーのこのエクスペリエンスを向上させるために、再認証が必要になったときに最後にOktaセッションを確立したOIDC、SAML、またはOrg2Org IdPにフェデレーションユーザーをリダイレクトするようにorgを構成できます。IdPで認証したユーザーは、新しい認証クレームとともにOktaに戻ります。
これは再認証にのみ適用されます。ルーティングルールは、ユーザーがorgに初めてサインインする際の認証に使用するIdPを決定します。「IDプロバイダーのルーティングルールを構成する」を参照してください。
開始する前の確認事項
- orgでサードパーティIdP(OIDCまたはSAML)またはOrg2Org IdPが少なくとも1つ構成されてアクティブである。「IDプロバイダー」を参照してください。
- アプリサインインポリシーまたはOktaアカウント管理ポリシールールで再認証要件が構成されている。再認証の頻度は、ルールの[When to prompt for authentication(認証を求めるタイミング)]セクションに設定されます。「アプリサインインポリシールールを追加する」および「Oktaアカウント管理ポリシーを編集する」を参照してください。
IdPへの再認証を構成する
-
Admin Consoleで、に移動します。
- [Identity Provider(IDプロバイダー)]ページで、[Identity claims sourcing(IDクレームソーシング)]タブに移動します。
- [Re-authentication to IdP(IdPへの再認証)]セクションで、[Edit(編集)]をクリックします。
- [Re-authentication routing(再認証のルーティング)]を[Most recent active SSO IdP(最新のアクティブなSSO IdP)]に設定します。Oktaは、Oktaセッションを最後に確立したサードパーティまたはOrg2Org IdPにユーザーをリダイレクトします。
- [Eligible IdPs for re-authentication(再認証の対象IdP)]を次のいずれかのオプションに設定します。
- [All IdPs that meet the requirements(要件を満たすすべてのIdP)]:すべてのアクティブなSSOのみのIDプロバイダーは、ユーザーを認証のために最新のアクティブなIdPにリダイレクトします。
- [Specific IdPs that meet the requirements(要件を満たす特定のIdP)]:このリダイレクトの対象となるIdPを選択します。ユーザーのIdPがフィルターリストにない場合(およびリストが空でない場合)、ポリシーは[None(なし)]として動作します。
- [Save(保存)]をクリックします。
再認証の結果を理解する
ユーザーに対する再認証の結果は、次の要因によって決まります。
- [Identity claims sourcing(IDクレームソーシング)]タブの[Re-authentication routing(再認証のルーティング)]設定(「IdPへの再認証を構成する」を参照)
- IdP構成でクレーム共有が有効化されているかどうか(「クレーム共有を構成する」を参照)
- 認証ポリシールールの[When to prompt for authentication(認証を求めるタイミング)]セクションに定義されている、パスワードの再認証とその他の要素の再認証が現在必要かどうか(「アプリサインインポリシールールを追加する」および「Oktaアカウント管理ポリシーを編集する」を参照)
注記がある場合を除き、再認証がサードパーティアプリサインインポリシー、Oktaアカウント管理ポリシー、またはOrg2Orgアプリサインオンポリシーによってトリガーされるかどうかに以下の結果が適用されます。
[Password re-authentication required(パスワード再認証が必要)]列と[Other factor re-authentication required(その他の要素の再認証が必要)]列は、ルールで「パスワード+別の要素の保証」が使用される場合にのみ適用されます。これは、要素ごとに個別の再認証頻度を設定します。ほかのすべての保証レベル(1FA、任意の2FA、パスワード/IdP)では、1つの再認証頻度が使用されます。
| 再認証のルーティング | クレーム共有 | パスワード再認証が必要 | その他の要素の再認証が必要 | 結果 |
|---|---|---|---|---|
| 最新のアクティブなSSO IdP | 有効 | はい/いいえ | はい/いいえ | 最も早期の頻度でIdPにリダイレクトする |
| 最新のアクティブなSSO IdP | 無効 | はい | はい/いいえ | パスワードの頻度でIdPにリダイレクトする |
| 最新のアクティブなSSO IdP | 無効 | いいえ | はい | ローカル要素のプロンプト |
| なし | 有効化または無効化 | いいえ | はい | ローカル要素のプロンプト |
| なし | 有効化または無効化 | はい | はい/いいえ | フェデレーションユーザーのエラー |
[Specific IdPs that meet the requirements(要件を満たす特定のIdP)]を選択し、ユーザーのIdPがフィルターリストにない場合、結果は、頻度要件に応じてフェデレーションユーザーのエラーまたはローカル要素のプロンプトにフォールバックします。
フェデレーションユーザーのエラー
フェデレーションユーザーにはエラーが表示され、再認証できません。これは、クレーム共有が有効になっているかどうかに関係なく、[Re-authentication routing(再認証のルーティング)]が[None(なし)]に設定され、パスワードの再認証が必要な場合に発生します。
これにより、フェデレーションユーザーはパスワード頻度要件を回避できなくなります。
フェデレーションログインを使用しているローカルユーザーには、エラーは表示されず、パスワードの入力が求められます。
ローカル要素のプロンプト
Oktaでは、ローカルで構成された要素をユーザーに求めます。ローカルに構成された要素は、再認証のためにIdPに送信されることはありません。この結果は2つの状況で生じます。
- [Re-authentication routing(再認証のルーティング)]が[None(なし)]に設定され、パスワード以外の要素のみが必要
- [only non-password factors are required(再認証のルーティング)]が[Most recent active SSO IdP(最新のアクティブなSSO IdP)]に設定され、クレーム共有を無効になっていて、パスワードの頻度の有効期限が切れていない
最も早期の頻度でIdPにリダイレクトする
Oktaは、Oktaセッションを最後に確立したIdPにユーザーをリダイレクトします。再認証は、必要なすべての要素において、有効期限が切れる最も早い頻度で行われます。たとえば、パスワードの頻度が2時間ごとで、要素の頻度が1時間ごとの場合、再認証は1時間ごとに行われます。
IdPで再認証された後、OktaはIdPから受信した認証方法リファレンス(AMR)クレームに基づいて、追加のローカル要素を求める場合があります。IdPが再認証をトリガーしない場合、Oktaは毎回ローカル要素の入力を求めます。
この結果には、IdP構成でクレーム共有を有効にする必要があります。
パスワードの頻度でIdPにリダイレクトする
Oktaは、Oktaセッションを最後に確立したIdPにユーザーをリダイレクトします。再認証は、パスワードの頻度のみに基づいて行われます。Oktaは、その他すべての要素をローカルで求めます。
この結果は、クレーム共有が無効になっている([Honor password reauthentication frequency only(パスワードの再認証頻度のみに準拠)]が選択されている)場合に適用されます。このオプションは、クレーム共有が無効になっているサードパーティIdPの既存のレガシー再認証動作を維持する場合にのみ使用してください。
Oktaは毎回ではなく、要素の頻度も期限切れになった場合にのみ、ローカルでその他の要素の入力を求めます。