再認証のためにフェデレーションユーザーをIdPにリダイレクトする
早期アクセスリリース
アプリサインインポリシーまたはOkta Account Managementポリシーでユーザーの再認証が求められる場合、OktaはorgのローカルAuthenticatorを使った再認証をユーザーに求めます。
ただし、サードパーティIDプロバイダー(IdP)またはOkta Org2Org IdPを介してOktaセッションが確立されたフェデレーションユーザーは、ローカルのOkta Authenticatorが登録されていないことがよくあります。このため、フェデレーションユーザーが再認証する必要があるときにエラーメッセージが発生し、ユーザーエクスペリエンスが混乱した状態で作成されます。
フェデレーションユーザーのこのエクスペリエンスを向上させるために、再認証が必要になったときに最後にOktaセッションを確立したOIDC、 SAML、またはOrg2Org IdPにリダイレクトするようにorgを構成できます。IdPで認証したユーザーは、新しい認証クレームとともにOktaに戻ります。
これは再認証にのみ適用されます。ルーティングルールは、 orgに初めてサインインユーザーを認証に使用するIdPを決定します。IDプロバイダーのルーティングルールを構成するを参照してください。
開始する前の確認事項
- orgでアクティブなサードパーティIdP (OIDCまたはSAML)またはOrg2Org IdPが少なくとも1つ構成されてアクティブになります。「IDプロバイダー」を参照してください。
- アプリサインインポリシーまたはOkta Account Managementポリシールールで再認証要件が構成されています。再認証の頻度は、ルールの 認証を求めるタイミング(When to prompt for authentication)セクションに設定されます。「アプリサインインポリシールールを追加する」 および 「Okta Account Managementポリシーを編集する」を参照してください。
IdPへの再認証を構成する
-
Admin Consoleで、に移動します。
- IDプロバイダー(Identity Providers) ページで、 IDクレームソーシング(Identity claims sourcing) タブに移動します。
- IdPへの再認証(Re-authentication to IdP)セクションで、 編集(Edit)をクリックします。
- 再認証のルーティング(Re-authentication routing)を最近のアクティブSSO IdP(Most last active SSO IdP)に設定します。Oktaは、Oktaセッションを最後に確立したサードパーティまたはOrg2Org IdPにユーザーをリダイレクトします。
- 再認証に適したIdP(Eligible IdPs for re-authentication)を次のいずれかのオプションに設定します。
- 要件を満たすすべてのIdP(All IdPs that meet the requirements):すべてのアクティブなSSOのみのIDプロバイダーは、ユーザーを認証のために最新のアクティブなIdPにリダイレクトします。
- 要件を満たす特定のIdP(Specific IdPs that meet the requirements):このリダイレクトの対象となるIdPを選択します。ユーザーのIdPがフィルターリストにない場合(およびリストが空でない場合)、ポリシーは なし (None)として動作します。
- 保存(Save)をクリックします。
再認証の結果を理解する
ユーザーに対する再認証の結果は、次の要因によって決まります。
- IDクレームソーシング(Identity claims sourcing) タブの 再認証ルーティング(Re-authentication routing)設定(「IdPへの再認証を構成する」を参照)
- IdP構成でクレーム共有が有効化されているかどうか( 「クレーム共有を構成する」を参照)
- 認証ポリシールールの認証を求めるタイミング(When to prompt for authentication)セクションに定義されている、パスワードの再認証とその他の要素の再認証が現在必要かどうか( 「アプリサインインポリシールールを追加する」 および 「Okta Account Managementポリシーを編集する」を参照)
再認証がサードパーティアプリサインインポリシー、Okta Account Managementポリシー、またはOrg2Orgアプリサインオンポリシーによってトリガーされるかどうかに該当する場合を除き、以下の結果が適用されます。
パスワードの再認証が必要(Password re-authentication required)列とその他の要素の再認証が必要(Other factor re-authentication required)列は、ルールで「パスワード+別の要素の保証」が使用される場合にのみ適用されます。これは、要素ごとに個別の再認証頻度を設定します。ほかのすべての保証レベル(1FA、任意の2FA、パスワード/ IdP)では、1つの再認証頻度が使用されます。
| 再認証のルーティング | クレーム共有 | パスワード再認証が必要 | その他の要素の再認証が必要 | 結果 |
|---|---|---|---|---|
| 最新のアクティブなSSO IdP | 有効 | はい/いいえ | はい/いいえ | 最も早期の頻度でIdPにリダイレクトする |
| 最新のアクティブなSSO IdP | 無効 | はい(Yes) | はい/いいえ | パスワードの頻度でIdPにリダイレクト |
| 最新のアクティブなSSO IdP | 無効 | いいえ | はい(Yes) | ローカル要素のプロンプト |
| なし | 有効化または無効化 | いいえ | はい(Yes) | ローカル要素のプロンプト |
| なし | 有効化または無効化 | はい(Yes) | はい/いいえ | フェデレーションユーザーのエラー |
要件を満たす特定の IdP(Specific IdPs that meet the requirements)を選択し、ユーザーのIdPがフィルターリストにない場合、結果は、頻度要件に応じて フェデレーションユーザーのエラーまたは ローカル要素のプロンプトにフォールバックします。
フェデレーションユーザーのエラー
フェデレーションユーザーにはエラーが表示され、再認証できません。これは、クレーム共有が有効になっているかどうかに関係なく、 再認証ルーティング(Re-authentication routing) が なし(None) に設定され、パスワードの再認証が必要な場合に発生します。
これにより、フェデレーションユーザーはパスワード頻度要件を回避できなくなります。
フェデレーションログインを使用しているローカルユーザーには、エラーは表示されず、パスワードの入力が求められます。
ローカル要素のプロンプト
Oktaでは、ローカルで構成された要素をユーザーに求めることがあります。ローカルに構成された要素は、再認証のためにIdPに送信されることはありません。この結果は2つの状況で生じます。
- 再認証ルーティング(Re-authentication routing) が なし(None)に設定され、パスワード以外の要素のみが必要
- 再認証ルーティング(Re-authentication routing) が 最近のアクティブSSO IdP(Most last active SSO IdP)に設定され、クレーム共有が無効になっていて、パスワードの頻度の有効期限が切れていない
最も早期の頻度でIdPにリダイレクトする
Oktaは、Oktaセッションを最後に確立したIdPにユーザーをリダイレクトします。再認証は、必要なすべての要素の場合に、有効期限が切れる最も早い頻度で行われます。たとえば、パスワードの頻度が2時間ごとで、要素の頻度が1時間ごとの場合、再認証は1時間ごとに行われます。
IdPで再認証された後、OktaはIdPから受信した認証方法参照(AMR)クレームに基づいて、追加のローカル要素を求める場合があります。IdPが再認証をトリガーしない場合、Oktaは毎回ローカル要素の入力を求めます。
この結果には、 IdP構成でクレーム共有を有効にする必要があります。
パスワードの頻度でIdPにリダイレクト
Oktaは、Oktaセッションを最後に確立したIdPにユーザーをリダイレクトします。再認証は、パスワードの頻度のみに基づいて行われます。Oktaでは、その他すべての要素がローカルで求められます。
この結果は、クレーム共有が無効になっている場合に適用されます(パスワードの再認証頻度に準拠(Honor password reauthentication frequency only)のみ が選択されています)。このオプションは、クレーム共有が無効になっているサードパーティIdPの既存の再認証動作を維持する場合にのみ使用してください。
Oktaは毎回ではなく、要素の頻度も期限切れになった場合にのみ、ローカルでその他の要素の入力を求めます。