アプリ統合にカスタムクレームを構成する

このトピックでは、Oktaアプリ統合でカスタムクレームを作成・管理する方法を説明します。Security Assertion Markup Language(SAML)およびOpenID Connect(OIDC)アプリ統合を構成し、SAMLアサーションとOIDC IDトークンでカスタムクレームを渡す手順が含まれています。

カスタムクレームを理解する

カスタムクレーム(SAMLアプリでは属性ステートメント、 OIDCアプリではトークンクレームと呼ばれます)を使用することで、Oktaからアプリ統合にユーザー情報を渡すことができます。

以前は、ユーザーとグループのクレームのみがサポートされていました。これは現在、レガシー構成と見なされています。レガシー構成を使用してレガシークレームを引き続き作成・管理することもできます(レガシー構成を使用してエンタイトルメントクレームを作成するを参照)。または、最新のより強力なクレーム管理機能を使用して、エンタイトルメントクレームを含むさまざまなカスタムクレームを生成することもできます。

カスタムクレームは、アプリページのサインオン(Sign On)タブで作成・管理されるようになりました。Okta Identity Engine向けOkta Expression Language(OIE向けEL)を使用して、 SAMLアサーションやOIDC IDトークンで渡すユーザー情報を指定できます。SAMLまたはOIDCのアプリ統合を作成する際にクレームを定義できなくなりました。

サポートされるクレーム

次のOIE向けEL式を使用して、カスタムクレームを生成できます。OIEのELの構文と機能の詳細については、「Okta Identity EngineのOkta Expression Language」を参照してください。

クレームタイプ 構文

ユーザープロファイル属性 user.profile.{$property}

user.profile.firstName

グループ所属 user.getGroups.{$arrayOfProperties}

user.getGroups({'group.id': {'00gjitX9HqABSoqTB0g3'}}, {'group.profile.name': 'Engineering.*'})

デバイスプロファイル属性 device.profile.{$property}

device.profile.managed

権限(Entitlements)

appuser.entitlements.{$attribute}

appuser.entitlements.role

セッションAMR session.amr
セッションID(Session ID) session.id

SAMLアサーションおよびOIDC IDトークンでカスタムクレームを渡す

  1. アプリケーション(Applications) > アプリケーション(Applications)に移動し、SAMLまたはOIDCアプリを開きます。
  2. サインオン(Sign On)タブをクリックします。
  3. 属性ステートメント(Attributes Statements)(SAML)またはトークンクレーム(Token claims)(OIDC)セクションで、式を追加(Add expression)をクリックします。
  4. 名前(Name)フィールドに、カスタムクレームの名前を入力します。
  5. 式(Expression)フィールドにOIE向けEL式を入力し、カスタムクレームに含める情報を指定します。サポートされている式の一覧については、サポートされるクレームを参照してください。OIE向けELの詳細については、「Okta Identity EngineのOkta Expression Language」を参照してください。
  6. 保存(Save)をクリックします。

カスタムクレームに関するよくある質問

レガシークレームは新しいクレームインターフェイスに自動的に移行されますか?

いいえ。レガシークレームは旧バージョンのOkta Expression Languageを使用します。クレームを新しいクレームインターフェイスに移行するには、OIE向けOkta Expression Languageを使用して式を再作成する必要があります。

式を新しいインターフェイスに移行すべきでしょうか?

レガシー式を移行する必要はありません。レガシー式と新しい式は共存し、追加的に利用できます。ただし、新しいインターフェイスはより合理化されており、場合によっては、1つの式で多くのレガシー式を置き換えられます。運用orgで変更を行う前に、Preview Orgで新しい式をテストしてください。

クレームがSAML設定やOIDC IDトークン設定に表示されなくなったのはなぜですか?

クレームはSAML設定またはOIDC IDトークン設定からアプリのサインオン(Sign On)タブに移動しました。属性ステートメント(Attributes Statements)(SAML)またはトークンクレーム(Token claims)(OIDC)セクションで、レガシー構成を表示(Show legacy configuration)を展開します。

クレームが[General(一般)]タブに表示されなくなったのはなぜですか?

クレームは[General(一般)]タブからサインオン(Sign On)タブに移動しました。属性ステートメント(Attributes Statements)(SAML)またはトークンクレーム(Token claims)(OIDC)セクションで、レガシー構成を表示(Show legacy configuration)を展開します。

アプリ統合を作成するときにSAML属性ステートメントやクレームを構成できないのはなぜですか?

これは現在サインオン(Sign On)タブで行われます。他の類似機能と同様、必要最小限の情報でアプリケーションを保存した後に構成できます。

関連項目

レガシー構成を使用してエンタイトルメントクレームを生成する

SAMLアプリ統合を作成する

OpenID Connectアプリ統合を作成する