Utiliser l’attribut du fournisseur d’identité comme critère de filtre pour SAML
Utilisez l’attribut Fournisseur d’identité (IdP) de la réponse SAML (Security Assertion Markup Language) comme critère de filtre pour la politique d’authentification.
Avant de commencer
Rôle requis : adaptive_auth_admin
Vous pouvez créer une politique d’accès à la session à l’aide du contexte de la politique (pré-authentification, post-authentification, authentification multifacteur) et des critères de filtre (rôle, groupe, adresse IP, emplacement) avec les entrées et conditions de la politique.
La procédure suivante montre les étapes de configuration de l’attribut IdP à partir de la réponse SAML en tant qu’entrée de politique pour contrôler l’authentification dans le contexte de post-authentification, l’authentification multifacteur (MFA) et le Zero Trust - accès à la session basé sur des politiques.
Les attributs IdP Okta sont présentés dans la capture d’écran suivante. Vous devez définir l’option Utilisation dans l’authentification adaptative sur vrai pour l’utiliser dans le contexte de post-authentification, l’authentification multifacteur (MFA) et les politiques d’accès à la session Zero Trust - basées sur des politiques.
Procédure
-
Utilisation de l’attribut IdP dans le contexte de la politique de post-authentification.
Exemple : configuration pour activer les connexions à partir des attributs Okta IdP si l’appareil est approuvé.
-
Dans l’entrée Politique, créez l’entrée de politique et la condition de politique.
- Entrée de politique : ajoutez device_trusted-okta.
- Conditions de la politique : device_trusted-okta est approuvé et le fournisseur d’identité est okta.
Selon cette configuration, lorsque l’appareil est approuvé par Okta (IdP), l’utilisateur est authentifié auprès de l’instance.
Pour en savoir plus sur la création d’un contexte de post-authentification avec politique et condition, reportez-vous à la section Contexte de post-authentification.
- Entrée de politique : ajoutez device_trusted-okta.
-
Dans l’entrée Politique, créez l’entrée de politique et la condition de politique.
-
Utilisation de l’attribut IdP dans le contexte de la politique MFA.
Exemple : configuration pour activer la MFA à partir des attributs IdP Okta si l’appareil n’est pas approuvé.
-
Dans l’entrée Politique, créez l’entrée de politique et la condition de politique.
- Entrée de politique : ajoutez device_trusted-okta.
- Conditions de la politique : device_trusted-Okta est not_trusted et le fournisseur d’identité est Okta.
En fonction de cette configuration, lorsque l’appareil n’est pas approuvé par Okta (IdP), l’utilisateur affiche une deuxième authentification de facteur pour se connecter à l’instance.
Pour plus d’informations sur la création d’un contexte MFA avec politique et condition, reportez-vous à la section Contexte d’authentification multifacteur.
- Entrée de politique : ajoutez device_trusted-okta.
-
Dans l’entrée Politique, créez l’entrée de politique et la condition de politique.
-
Utilisation de l’attribut IdP dans Zero Trust : accès à la session basé sur une politique.
Exemple : configuration pour réduire le privilège du rôle ITIL des attributs Okta IdP si l’appareil n’est pas approuvé.
-
Dans l’entrée Politique, créez l’entrée de politique et la condition de politique.
- Entrée de politique : ajouter device_trusted-okta et disposer du rôle itil.
- Conditions de la politique : device_trusted-Okta est not_trusted, le fournisseur d’identité est Okta et le rôle itil est vrai.
En fonction de cette configuration, lorsque l’utilisateur itil utilise un appareil qui n’est pas approuvé par Okta (IdP), les privilèges de l’utilisateur sont réduits pour la session connectée.
Pour plus d’informations sur la création d’un accès à la session basé sur des règles Zero Trust avec politique et condition, reportez-vous à la section Accès zéro confiance (ZTA).
- Entrée de politique : ajouter device_trusted-okta et disposer du rôle itil.
-
Dans l’entrée Politique, créez l’entrée de politique et la condition de politique.