IdP Authenticatorを構成する

IDプロバイダー（IdP）Authenticatorは所有要素であり、ユーザーの存在を確認します。選択した複数のSAML 2.0またはOIDC IdPをAuthenticatorとして構成できます。

エンドユーザーには、Oktaにサインインする際にIdPを使用するオプションが表示されます。エンドユーザーはIdPで追加の検証を完了してから、Oktaにリダイレクトされます。

IdP Authenticatorを使用するには、ブラウザー内でサインインフローが実行される必要があります。ブラウザーの外部で実行されるサインインフローはサポートされません。これには、リモートデスクトッププロトコル（RDP）、Active Directoryフェデレーションサービス（ADFS）、リモート認証ダイヤルインユーザサービス（RADIUS）を使用するサインインフローが含まれます。Microsoft Azure Active Directory（AAD）はIdP Authenticatorとして使用できません。

はじめに

Authenticatorとして使用するSAML 2.0またはOIDC IdPを追加します。「IDプロバイダー」を参照してください。
- ［IdP Usage（IdPの用途）］を［Factor only（要素のみ）］に設定します。
- ［JIT settings（JIT設定）］を消去します。この設定はサポートされません。
Okta Universal Directoryマッピングを構成します。
- SAML 2.0 IdPの場合は、subjectNameIdクレームをOktaユーザー名ログインにマッピングします。
- OIDC IdPの場合は、preferred_usernameクレームをOktaユーザー名ログインにマッピングします。
［IdP］を［Active（アクティブ）］に設定します。

IdP Authenticatorを追加する

Admin Consoleで、［Security（セキュリティ）］［Authenticator］に移動します。
［Setup（設定）］タブで、［Add authenticator（Authenticatorを追加）］をクリックします。
［IdP Authenticator（IdPオーセンティケーター）］タイルの［Add（追加）］をクリックします。

Authenticatorのオプションを構成する

次のオプションを構成します。

フィールド	値
Identity Provider (IdP)（IDプロバイダー）	Authenticatorとして使用するSAMLまたはOIDC IdPを選択します。
Authenticator name（Authenticator名）	Authenticatorの名前。これは、サインイン時にエンドユーザーに表示されます。フィールドが空白の場合、Authenticatorの名前としてIdPの名前が表示されます。
Authenticator logo（Authenticatorのロゴ）	Authenticatorのロゴを選択します。このロゴは、認証ページでユーザーに表示されます。［Browse files（ファイルを参照）］：ロゴをアップロードします。ロゴは1 MB未満のSVGファイルである必要があります。品質を高めるため、背景が透明の正方形のロゴを使用してください。［Use default logo（デフォルトのロゴを使用）］：デフォルトのロゴを使用します。

フィールド

値

Identity Provider (IdP)（IDプロバイダー）

Authenticatorとして使用するSAMLまたはOIDC IdPを選択します。

Authenticator name（Authenticator名）

Authenticatorの名前。これは、サインイン時にエンドユーザーに表示されます。フィールドが空白の場合、Authenticatorの名前としてIdPの名前が表示されます。

Authenticator logo（Authenticatorのロゴ）

Authenticatorのロゴを選択します。このロゴは、認証ページでユーザーに表示されます。

［Browse files（ファイルを参照）］：ロゴをアップロードします。ロゴは1 MB未満のSVGファイルである必要があります。品質を高めるため、背景が透明の正方形のロゴを使用してください。

［Use default logo（デフォルトのロゴを使用）］：デフォルトのロゴを使用します。

［Add（追加）］をクリックします。［Setup（設定）］タブのリストにAuthenticatorが表示されます。

サインインページにAuthenticatorがどのように表示されるかを確認するには、エンドユーザーとしてサインインします。別のIdP Authenticatorを追加するには、上記手順を繰り返します。

Authenticator登録ポリシーにIdPを追加する

［Authenticator］で、［Enrollment（登録）］タブに移動し、新規または既存のAuthenticator登録ポリシーにAuthenticatorを追加します。「Authenticator登録ポリシーを作成する」を参照してください。

IdP Authenticatorを編集、非アクティブ化、または削除する

IdP Authenticatorを編集、非アクティブ化、または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

IdP Authenticatorを編集または非アクティブ化するには、［Security（セキュリティ）］［Authenticators（Authenticator）］に移動します。Authenticatorの横にある［Actions（アクション）］ドロップダウンを開き、［Edit（編集）］または［Deactivate（非アクティブ化）］を選択します。

IdP Authenticatorを非アクティブ化しても、Authenticatorは削除されません。IdP Authenticatorを削除するには、次の手順に従います。

IdP Authenticatorを非アクティブ化します。
［Security（セキュリティ）］［Identity Providers（IDプロバイダー）］に移動し、対応するIdPを削除します。

IdPが削除されると、そのIdPはAuthenticatorリストから自動的に消えます。

エンドユーザーエクスペリエンス

エンドユーザーは、次回のサインイン時にIdP Authenticator認証への登録を求められます。エンドユーザーがIdP Authenticatorに登録すると、［Settings（設定）］［Security Methods（セキュリティ方式）］の［End-User Dashboard］にそのIdP Authenticatorが表示されるようになります。IdP Authenticatorのプロンプトは、非アクティブの状態で5分が経過するとタイムアウトになります。その場合、ユーザーは新しいプロンプトをリクエストする必要があります。