IdPオーセンティケーターを構成する
IdPオーセンティケーターにより、管理者はOIDCまたはSAML IDプロバイダー(IdP)による認証を追加の検証として有効にできます。構成すると、エンドユーザーには追加の検証にIDプロバイダーを使用するオプションが表示され、検証のためにそのIDプロバイダーにリダイレクトされます。この検証により、認証が別のパスワード以外のオーセンティケーター(Okta Verifyなど)に置き換えられます。
IdPオーセンティケーターを有効にして認証登録ポリシーに追加すると、ユーザーはOktaにサインインするときにそれを使用してIDを検証できるようになります。エンドユーザーは、認証のためにIDプロバイダーに転送され、検証が成功するとOktaにリダイレクトされます。
このオーセンティケーターにより、次のことができるようになります。
- 既存のSAMLまたはOIDCベースのIdP認証用にIdPオーセンティ ケーターを追加する。
- 既存のSAML 2.0 IdPまたはOIDC IdPをリンクして、IdPオーセンティケータープロバイダーとして使用する。
はじめに
- IdPオーセンティケーターを登録して構成するには、Oktaへの管理者アクセス権が必要です。
- 既存のIDプロバイダーを追加のステップアップ認証プロバイダーとして使用するには、そのプロバイダーが使用可能である必要があります。
SAMLおよびOIDCのクレームのマッピング
Oktaで想定されているSAML・OIDCのクレームは次のとおりです。
- SAMLレスポンスの場合、subjectNameIdクレームがOktaユーザー名にマッピングされます。
- OIDCレスポンスの場合、preferred_usernameクレームがOktaユーザー名にマッピングされます。
IdPオーセンティケーターを構成する
IdPオーセンティケーターを構成するには、次の2つの段階があります。
- OktaにIDプロバイダーを追加する。
- IdPオーセンティケーターを有効にする。
ステップ1:OktaにIDプロバイダーを追加する。
-
Admin Consoleで、 に移動します。
- [Add identity provider(IDプロバイダーを追加)]をクリックし、追加するIDプロバイダーを選択します。
- [Next(次へ)]をクリックします。IDプロバイダーのセットアップページが表示されます。
- 各IDプロバイダーページには、設定手順へのリンクが含まれます。これらの設定手順を読んでIDプロバイダーの構成方法を確認することをお勧めします。
- 各IDプロバイダーページの[General Settings(一般設定)]セクションで、[IdP Usage(IdPの用途)]ドロップダウンから[Factor only(要素のみ)]オプションを選択します。IdPオーセンティケーターで[SSO only(SSOのみ)]オプションを使用することはできません。
- JIT設定は、IdPオーセンティケーターではサポートされません。
ステップ2:IdPオーセンティケーターを有効にする
IdPオーセンティケーターを有効にする前に、ステップ1の説明に従ってIDプロバイダーを追加する必要があります。
- Admin Consoleで、 に移動します。
- [Add Authenticator(オーセンティケーターを追加)]をクリックします。
- [IdP オーセンティケーター(IdPオーセンティケーター)]タイルの[Add(追加)]をクリックします。
- メニューから[Identity Provider(IDプロバイダー)]を選択します。これらのIDプロバイダーは、この手順のステップ1で追加したプロバイダーです。
- [Save(保存)]をクリックします。
- オーセンティケータ-登録ポリシーでIdPオーセンティケーターの設定を構成します。手順については、「オーセンティケーター登録ポリシーを作成する」を参照してください。
エンドユーザーエクスペリエンス
- エンドユーザーは、次回のサインイン時にIdPオーセンティケーター認証への登録を求められます。
- エンドユーザーがIdPオーセンティケーターに登録すると、[Settings(設定)]ページの[Security Methods(セキュリティ方法)]セクションにそのIdPオーセンティケーターが表示されるようになります。
- エンドユーザーがIdPオーセンティケーターの使用をトリガーした後、非アクティブの状態で5分が経過するとタイムアウトになります。この時間が経過したら、IdPオーセンティケーターの使用を再度トリガーする必要があります。
制限事項
IdPオーセンティケーターは、以下の場合には使用できません。
- このオーセンティケーターとOkta統合Windows認証エージェントを組み合わせてデスクトップシングルサインオンを実現することはできません。
- 「MFAによる信頼できない許可」構成を使用するデバイスの信頼の統合は失敗します。
- リモートデスクトッププロトコル向けMFA、ADFS向けMFA、RADIUSログイン、その他のブラウザーベースではないサインインフローでは、IdPオーセンティケーターはサポートされません。
- IdPオーセンティケーターでは、Microsoft Azure Active Directory(AAD)のIDプロバイダーとしての使用はサポートされません。AADをIDプロバイダーとして使用する方法については、「Azure Active DirectoryをIDプロバイダーにする」を参照してください。
- 第3世代のサインインウィジェットは、IdPオーセンティケーターをサポートしません。