IdP Authenticatorを構成する

IDプロバイダーIdP)Authenticatorは所有要素であり、ユーザーの存在を確認します。選択した複数のSAML 2.0またはOIDC IdPをAuthenticatorとして構成できます。

エンドユーザーには、Oktaにサインインする際にIdPを使用するオプションが表示されます。エンドユーザーはIdPで追加の検証を完了してから、Oktaにリダイレクトされます。

IdP Authenticatorを使用するには、ブラウザー内でサインインフローが実行される必要があります。ブラウザーの外部で実行されるサインインフローはサポートされません。これには、リモートデスクトッププロトコル(RDP)、Active Directoryフェデレーションサービス(ADFS)、リモート認証ダイヤルインユーザ サービス(RADIUS)を使用するサインインフローが含まれます。Microsoft Azure Active Directory(AAD)はIdP Authenticatorとして使用できません。

はじめに

  • Authenticatorとして使用するSAML 2.0またはOIDC IdPを追加します。「IDプロバイダー」を参照してください。
    • [IdP Usage(IdPの用途)][Factor only(要素のみ)]に設定します。
    • [JIT settings(JIT設定)]を消去します。この設定はサポートされません。
  • Okta Universal Directoryマッピングを構成します。
    • SAML 2.0 IdPの場合は、subjectNameIdクレームをOktaユーザー名ログインにマッピングします。
    • OIDC IdPの場合は、preferred_usernameクレームをOktaユーザー名ログインにマッピングします。
  • [IdP][Active(アクティブ)]に設定します。

IdP Authenticatorを追加する

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。
  2. [Setup(設定)]タブで、[Add authenticator(Authenticatorを追加)]をクリックします。

  3. [IdP Authenticator]タイルの[Add(追加)]をクリックします。
  4. メニューから[Identity Provider(IDプロバイダー)]を選択します。
  5. [Add(追加)]をクリックします。Authenticatorが[Setup(設定)]タブのリストに表示されます。
  6. 別のIdP Authenticatorを追加するには、この手順を繰り返します。

Authenticator登録ポリシーにIdPを追加する

[Authenticator]で、[Enrollment(登録)]タブに移動し、新規または既存のAuthenticator登録ポリシーにAuthenticatorを追加します。「Authenticator登録ポリシーを作成する」を参照してください。

IdP Authenticatorを編集、非アクティブ化、または削除する

IdP Authenticatorを編集、非アクティブ化、または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

IdP Authenticatorを編集または非アクティブ化するには、[Security(セキュリティ)] [Authenticators(Authenticator)]に移動します。Authenticatorの横にある[Actions(アクション)]ドロップダウンを開き、[Edit(編集)]または[Deactivate(非アクティブ化)]を選択します。

IdP Authenticatorを非アクティブ化しても、Authenticatorは削除されません。IdP Authenticatorを削除するには、次の手順に従います。

  1. IdP Authenticatorを非アクティブ化します。
  2. [Security(セキュリティ)] [Identity Providers(IDプロバイダー)]に移動し、対応するIdPを削除します。

IdPが削除されると、そのIdPはAuthenticatorリストから自動的に消えます。

エンドユーザーエクスペリエンス

エンドユーザーは、次回のサインイン時にIdP Authenticator認証への登録を求められます。エンドユーザーがIdP Authenticatorに登録すると、[Settings(設定)] [Security Methods(セキュリティ 方式)][End-User Dashboard]にそのIdP Authenticatorが表示されるようになります。IdP Authenticatorのプロンプトは、非アクティブの状態で5分が経過するとタイムアウトになります。その場合、ユーザーは新しいプロンプトをリクエストする必要があります。

関連項目

認証