アプリのサインオンポリシー

アップグレード後にアプリのサインオンポリシーがどのように変わるのかを説明します。

変更の要約 アプリサインオンポリシーは、アプリサインインポリシーと呼ばれるようになりました。すべてのアプリに認証ポリシーがありますが、Identity Engineでは1つのポリシーを複数のアプリで共有できます。
管理者のエクスペリエンス すべてのアプリサインインポリシーは、この場所(セキュリティ > 認証ポリシー > (Security)アプリのサインイン(App sign-in))に表示されます。このページでは、ポリシーを大規模に管理し、各ポリシーがアプリケーションアクセスに与える影響を評価できます。

  • アプリのデフォルトポリシーにルールを追加する代わりに、各アプリに固有のポリシーを作成できます。

  • 標準のサインオン要件を持つアプリには、Oktaのプリセットポリシーを使用できます。

  • 多くのアプリで1つのポリシーを共有できます。
  • アプリのポリシーは、アプリケーション(Applications) > アプリケーション(Applications) > サインオン(Sign-On)で引き続き表示できますが、変更はできません。

アプリサインインポリシーの構成設定は同じですが、1つ例外があり、orgに少なくとも1つの外部IDプロバイダーが構成されている場合は、パスワードまたはIDP(Password or IDP)オプションが表示されます。それ以外の場合は、パスワード(Password)がインターフェイスに表示されます。
ユーザーエクスペリエンス ユーザーエクスペリエンスの変更は、ポリシーで新しい条件をどのように構成するかによって異なります。

  • アプリサインインポリシーの評価は、OIDCアプリでは異なります。Classic Engineでは、ユーザーがOIDCアプリを選択すると、アプリのサインオンポリシーが直ちに評価されます。Identity Engineでは、Redirect to app to initiate login (OIDC compliant)(ログインを開始するためのアプリへのリダイレクト(OIDC準拠))設定を使ってOIDCアプリを構成できます。これらのアプリを選択したユーザーは、最初にログイン開始のURIに移動します。その後、アプリが認可リクエストを発行すると、アプリサインインポリシーが評価されます。ユーザーがOktaに戻ると、MFAプロンプトが表示されます。

  • Classic Engineでは、2要素認証向けにアプリのサインオンポリシーを構成した場合(たとえば、パスワード/任意のIdP+任意のAuthenticator(Password / Any IdP + Any authenticator))、Okta Verifyユーザーは条件を満たすために2つの要素を提供する必要があります(たとえば、パスワードを入力し、Okta Verifyプッシュ通知を受け入れ)。Identity Engineでは、ユーザーはOkta Verify通知のみを受け入れ、生体認証を提供することで2要素条件を満たします。
関連項目 アプリ・サインイン・ポリシー(App sign-in policies)

OpenID Connectアプリ統合を作成する

サインインフロー