ID プロバイダー属性を OIDC のフィルター基準として使用する
OpenID Connect (OIDC) 応答の ID プロバイダー (IDP) 属性を認証ポリシーのフィルター基準として使用します。
始める前に
必要なロール:adaptive_auth_admin
ポリシーコンテキスト (事前認証、認証後、マルチファクター認証) とフィルター基準 (ロール、グループ、IP、場所) をポリシーの入力と条件とともに使用して、セッションアクセスポリシーを作成できます。
次の手順は、SAML 応答の IdP 属性をポリシーの入力として設定し、[認証後のコンテキスト]、[マルチファクター認証 (MFA) コンテキスト]、および [Zero Trust - Policy Based Session Access] で認証を制御する手順を示しています。
Okta IDP 属性を次のスクリーンショットに示します。[認証後のコンテキスト]、[マルチファクター認証 (MFA) コンテキスト]、および [Zero Trust - Policy Based Session Access] ポリシーで使用するには、[適応認証で使用 (Use in Adaptive Authentication)] を true に設定する必要があります。
手順
-
認証後ポリシーのコンテキストでの IDP 属性の使用
例:デバイスが信頼できる場合に Okta IDP 属性からのログインを有効にするように設定します。
-
ポリシー入力で、ポリシーの入力と条件を作成します。
- ポリシー入力: リスク要因を追加します。
- ポリシー条件: リスクファクター が 5 より大きく、 認証スキーム が シングルサインオンです。
この構成に基づいて、デバイスが Okta (IdP) から信頼されている場合、ユーザーはインスタンスに対して認証されます。
ポリシーと条件で認証後のコンテキストを作成する方法の詳細については、「認証後コンテキスト」を参照してください。
- ポリシー入力: リスク要因を追加します。
-
ポリシー入力で、ポリシーの入力と条件を作成します。
-
MFA ポリシーのコンテキストでの IDP 属性の使用
例:デバイスが信頼できない場合に、Okta IDP 属性からの MFA を有効にするように設定します。
-
ポリシー入力で、ポリシーの入力と条件を作成します。
- ポリシー入力: リスク要因を追加します。
- ポリシー条件: リスクファクター が 5 より大きく、 認証スキーム が シングルサインオンです。
この構成に基づいて、デバイスが Okta (IdP) から信頼されていない場合、ユーザーにはインスタンスにログインするための第 2 要素認証が表示されます。
ポリシーと条件で MFA コンテキストを作成する方法の詳細については、「マルチファクター認証コンテキスト」を参照してください。
- ポリシー入力: リスク要因を追加します。
-
ポリシー入力で、ポリシーの入力と条件を作成します。
-
Zero Trust - Policy Based Session Access での IDP 属性の使用
例:デバイスが信頼できない場合に、Okta IDP 属性からの Itil ロールの特権を減らすように設定します。
-
ポリシー入力で、ポリシーの入力と条件を作成します。
- ポリシー入力:[リスク要因を追加 (Add Risk Factor)] と [itil ロールがある (Has itil role)]
- ポリシー条件: リスクファクター が 5 より大きく、 認証スキーム が シングルサインオンです。
この構成に基づいて、Okta (IdP) から信頼されていないデバイスを itil ユーザーが使用すると、ログインセッションに対するユーザーの権限が減らされます。
ポリシーと条件で Zero Trust - Policy Based Session Access を作成する方法の詳細については、「ゼロトラストアクセス (ZTA)」を参照してください。
- ポリシー入力:[リスク要因を追加 (Add Risk Factor)] と [itil ロールがある (Has itil role)]
-
ポリシー入力で、ポリシーの入力と条件を作成します。