アイデンティティ・プロバイダ・ポリシーについて

アイデンティティ・プロバイダ・ポリシーについて

アイデンティティ・プロバイダ・ポリシーでは、ユーザーが特定のアプリケーションにアクセスするとき、またはアイデンティティ・ドメインによって保護されているリソースにアクセスしようとするときに、サインイン・ページに表示するアイデンティティ・プロバイダを定義できます。また、アイデンティティ・プロバイダ・ポリシーでは、ユーザーがアイデンティティ・ドメインに対して、アイデンティティ・プロバイダとローカル認証ファクタのどちらで認証するかも決定できます。

アイデンティティ・ドメインでは、次のタイプのアイデンティティ・プロバイダを使用できます:

• SAMLアイデンティティ・プロバイダ: このタイプのアイデンティティ・プロバイダでは、SAML 2.0 (Security Assertion Markup Language 2.0)標準がサポートされます。SAMLアイデンティティ・プロバイダは、組織内のユーザーがアイデンティティ・ドメインによって保護されるリソースにアクセスできるように、Active Directory Federation ServicesなどのSAML互換アイデンティティのプロバイダ間で信頼を確立する場合に使用します。

  アプリケーションにアクセスできるように、ユーザーが特定のSAMLアイデンティティ・プロバイダに自動的にリダイレクトされるようにする場合は、アプリケーションに関連付けられたアイデンティティ・プロバイダ・ポリシーにはSAMLアイデンティティ・プロバイダのみが割り当てられていることを確認します。アイデンティティ・プロバイダ・ポリシーに多数のアイデンティティ・プロバイダが割り当てられている場合、ユーザーは、「サイン・イン」ページからいずれかのアイデンティティ・プロバイダを選択するよう求められます。

• ソーシャル・アイデンティティ・プロバイダ: アイデンティティ・ドメイン・ユーザー・アカウントをユーザーのソーシャル・アカウントにリンクすることで、ユーザーは、Facebook、Google、LinkedIn、Microsoft、X (以前のTwitter)などのソーシャル資格証明を使用してアイデンティティ・ドメインにアクセスできます。

• パスワードレス認証プロバイダ: ユーザーが標準のWebフォームベースの認証をバイパスできるようにします。パスワードレス認証では、ユーザー名およびパスワードを毎回入力しなくても、保護されているリソースにアクセスできます。ただし、初回のサインインでは、標準のログイン・フォームが使用されます。

• ローカル・アイデンティティ・プロバイダ(ローカルIDP): アイデンティティ・ドメインへの認証は、ユーザーがサインイン・ページで資格証明(ユーザー名とパスワード)を指定することによってローカルに実行されます。

アイデンティティ・プロバイダ・ポリシーでは、ユーザーのサインイン・ページにローカル認証を表示するかどうかを構成できます。

たとえば、複数のソーシャル・アイデンティティ・プロバイダとSAMLアイデンティティ・プロバイダを作成し、ユーザーが特定のアプリケーションを使用してアイデンティティ・ドメインに認証を試みたときに、これらのどのIDプロバイダをサインイン・ページに表示するように構成するとします。アイデンティティ・プロバイダ・ポリシーがないと、これを構成できません。そのため、これらのすべてのSAMLおよびソーシャル・アイデンティティ・プロバイダをアクティブ化し、サインイン・ページに表示されるように設定している場合、これらはすべて表示されます。

アイデンティティ・ドメインには、デフォルトのアイデンティティ・プロバイダ・ルールを含むデフォルトのアイデンティティ・プロバイダ・ポリシーが用意されています。このルールには、ユーザー名- パスワードのローカル認証ファクタが割り当てられています。この方法では、少なくともユーザーはユーザー名とパスワードで認証できます。ただし、他のアイデンティティ・プロバイダ・ルールを追加して、このデフォルト・ポリシーに積み重ねることができます。これらのルールを追加することで、ユーザーが一部のアイデンティティ・プロバイダを使用してアイデンティティ・ドメインに対して認証することを防止できます。または、いずれかのネットワーク・ペリーメータに含まれるIPアドレスからアイデンティティ・ドメインにアクセスするユーザーのみが、他のアイデンティティ・プロバイダを使用できるように許可できます。「マイ・プロファイル」コンソールと管理コンソールの両方で、デフォルトのアイデンティティ・プロバイダ・ポリシーに割り当てられているアイデンティティ・プロバイダ・ルールが使用されます。

(ユーザー名およびパスワードを指定することで)アイデンティティ・ドメインにローカルにサインインできるユーザーと、外部アイデンティティ・プロバイダを使用する必要があるユーザーについて制限があるとします。会社の従業員は、Active Directory Federation Services (AD FS)を使用して認証を行う必要がありますが、契約社員が独自のSAMLアイデンティティ・プロバイダを使用する必要あり、他のすべてのユーザーの(コンシューマなど)は自分のユーザー名とパスワードまたはソーシャル・アイデンティティ・プロバイダを使用できます。

この目標を達成するために、デフォルトのアイデンティティ・プロバイダ・ポリシーに2つのアイデンティティ・プロバイダ・ルールを作成できます。最初のルールは、会社の従業員にのみ適用されます。これらのユーザーは、従業員のアイデンティティ・プロバイダであるAD FSを使用してサインインする必要があります。2番目のルールは、ユーザー名が@partner1.comで終わるユーザーに対してのみ適用されます。これらは、パートナ1のSAMLアイデンティティ・プロバイダを使用してサインインできます。3番目のルールは、ユーザー名が@partner2.comで終わるユーザーに対してのみ適用されます。これらは、パートナ2のSAMLアイデンティティ・プロバイダを使用してサインインできます。最後のルールは、すべてのユーザー(コンシューマ)用のキャッチオール・ルールです。これらのユーザーは、ローカル・パスワードまたはソーシャル・アイデンティティ・プロバイダを使用できます。

アイデンティティ・プロバイダ・ポリシーには複数のアイデンティティ・プロバイダ・ルールを定義できるため、アイデンティティ・ドメインはルールが評価される順序を認識する必要があります。これを行うため、ルールの優先度を設定できます。前の例では、会社の従業員のルールを最初に評価できます。このルールの基準を満たすユーザー(つまり、ユーザーが従業員)の場合、ユーザーはAD FSで認証する必要があります。従業員でないユーザーは、このアイデンティティ・プロバイダ・ルールの基準を満たさないため、次に高い優先度を持つルールが評価されます。この例では、ユーザーのユーザー名が@partner1.comで終わる必要があるパートナ1ルールです。これらのユーザーは、パートナ1のSAMLアイデンティティ・プロバイダを使用して認証する必要があります。従業員ではないユーザー、または@partner1.comで終わるユーザー名を持たないユーザーの場合、アイデンティティ・ドメインは、次に高い優先度番号(ユーザーのユーザー名が@partner2.comで終わる必要があるパートナ2ルール)を使用してルールを評価します。これらのユーザーは、パートナ2のSAMLアイデンティティ・プロバイダを使用して認証する必要があります。他のすべてのユーザーは、キャッチオール・ルールの基準を満たしているため、ローカル・パスワードまたはソーシャル・アイデンティティ・プロバイダのいずれかを使用してサインインできます。

デフォルトのアイデンティティ・プロバイダ・ポリシーに加えて、アイデンティティ・プロバイダ・ポリシーを作成し、それらを特定のアプリケーションに関連付けることができます。複数のアプリケーションがあり、各アプリケーションに異なるアイデンティティ・プロバイダを割り当てるとします。たとえば、2つのアプリケーションがあり、FacebookまたはLinkedInからユーザーを認証する場合です。そのため、あるアプリケーションとFacebookソーシャル・アイデンティティ・プロバイダに対して1つのアイデンティティ・プロバイダ・ポリシーを持ち、別のアプリケーションとLinkedInソーシャル・アイデンティティ・プロバイダに対してのみ別のアイデンティティ・プロバイダ・ポリシーを持つことができます。

アイデンティティ・ドメインでは、サインイン・ページに最大4つのアイデンティティ・プロバイダが表示されます。アイデンティティ・プロバイダ・ポリシーに4つより多くのアイデンティティ・プロバイダを割り当てると、ページに「すべてを表示」リンクが表示されます。リンクを選択し、ポリシーに関連付けられているすべてのアイデンティティ・プロバイダを表示します。