アイデンティティ・プロバイダ・ポリシーについて

アイデンティティ・プロバイダのポリシーについて。

アイデンティティ・プロバイダ・ポリシーでは、ユーザーが特定のアプリケーションへのアクセス時、またはアイデンティティ・ドメインによって保護されているリソースにアクセスしようとしているときに、サインイン・ページに表示するアイデンティティ・プロバイダを定義できます。また、アイデンティティ・プロバイダ・ポリシーでは、ユーザーのアイデンティティ・プロバイダとローカル認証ファクタのどちらを使用してアイデンティティ・ドメインを認証するかも決定できます。

アイデンティティ・ドメインでは、次のタイプのアイデンティティ・プロバイダを使用できます:

• SAMLアイデンティティ・プロバイダ: このタイプのアイデンティティ・プロバイダでは、SAML 2.0 (Security Assertion Markup Language 2.0)標準がサポートされます。SAMLアイデンティティ・プロバイダは、組織内のユーザーがアイデンティティ・ドメインによって保護されているリソースにアクセスできるように、Active Directory Federation ServicesなどのSAML準拠アイデンティティ・プロバイダ間の信頼を確立する場合に使用します。

  アプリケーションにアクセスできるようにユーザーを特定のSAMLアイデンティティ・プロバイダに自動的にリダイレクトする場合は、アプリケーションに関連付けられたアイデンティティ・プロバイダ・ポリシーには、SAMLアイデンティティ・プロバイダのみが割り当てられていることを確認します。アイデンティティ・プロバイダ・ポリシーに多数のアイデンティティ・プロバイダが割り当てられている場合、ユーザーはサインイン・ページでいずれかのアイデンティティ・プロバイダを選択するよう求められます。

• ソーシャル・アイデンティティ・プロバイダ: アイデンティティ・ドメイン・ユーザー・アカウントをユーザーのソーシャル・アカウントにリンクすることで、ユーザーは、Facebook、Google、LinkedIn、Microsoft、Xなどのソーシャル資格証明を使用してアイデンティティ・ドメインにアクセスできます(以前のTwitter)。

• パスワードレス認証プロバイダ: ユーザーが標準のWebフォームベースの認証をバイパスできるようにします。パスワードレス認証を使用すると、パスワードを毎回入力しなくても、保護されたリソースのアクセスが可能になります。ただし、初回のサインインでは、標準のログイン・フォームが使用されます。

• ローカル・アイデンティティ・プロバイダ(ローカルIDP): アイデンティティ・ドメインへの認証は、ユーザーがサインイン・ページで資格証明(ユーザー名とパスワード)を指定することによってローカルに実行されます。

アイデンティティ・プロバイダ・ポリシーでは、ユーザーのサインイン・ページにローカル認証を表示するかどうかを構成できます。

たとえば、複数のソーシャル・アイデンティティ・プロバイダとSAMLアイデンティティ・プロバイダを作成し、ユーザーが特定のアプリケーションを使用してアイデンティティ・ドメインに対して認証を試行したときに「サイン・イン」ページに表示されるこれらのアイデンティティ・プロバイダを構成する場合を考えます。アイデンティティ・プロバイダ・ポリシーがないと、これを構成できません。そのため、これらのすべてのSAMLアイデンティティ・プロバイダーおよびソーシャル・アイデンティティ・プロバイダーをアクティブ化し、サインイン・ページに表示されるように設定している場合、これらはすべて表示されます。

アイデンティティ・ドメインには、デフォルトのアイデンティティ・プロバイダ・ルールを含むデフォルトのアイデンティティ・プロバイダ・ポリシーが用意されています。このルールには、ユーザー名- パスワードのローカル認証ファクタが割り当てられています。これにより、ユーザーは最小限、自分のユーザー名とパスワードで認証できます。ただし、他のアイデンティティ・プロバイダ・ルールを追加して、このデフォルト・ポリシーに積み重ねることができます。これらのルールを追加することで、ユーザーが一部のアイデンティティ・プロバイダを使用してアイデンティティ・ドメインに対して認証することを防止できます。または、いずれかのネットワーク・ペレメータに含まれるIPアドレスからアイデンティティ・ドメインにアクセスするユーザーのみが、他のアイデンティティ・プロバイダを使用できるようにすることもできます。「マイ・プロファイル」コンソールと管理コンソールの両方で、デフォルトのアイデンティティ・プロバイダ・ポリシーに割り当てられているアイデンティティ・プロバイダ・ルールが使用されます。

(ユーザー名およびパスワードを指定して)アイデンティティ・ドメインにローカルにサインインできるユーザーと、外部アイデンティティ・プロバイダを使用する必要があるユーザーに関して、会社に制限があるとします。会社の従業員は、Active Directory Federation Services (AD FS)を使用して認証を行う必要がありますが、契約社員が独自のSAMLアイデンティティ・プロバイダを使用しなければならず、他のすべてのユーザーはユーザー名とパスワードまたはソーシャル・アイデンティティ・プロバイダを使用できます。

この目標を達成するために、デフォルトのアイデンティティ・プロバイダ・ポリシーに2つのアイデンティティ・プロバイダ・ルールを作成できます。最初のルールは、会社の従業員にのみ適用されます。これらのユーザーは、従業員のアイデンティティ・プロバイダであるAD FSを使用してサインインする必要があります。2番目のルールは、ユーザー名が@partner1.comで終わるユーザーに対してのみルールを適用します。これらは、パートナ1のSAMLアイデンティティ・プロバイダを使用してサインインできます。3番目のルールは、ユーザー名が@partner2.comで終わるユーザーに対してのみルールを適用します。これらは、パートナ2のSAMLアイデンティティ・プロバイダを使用してサインインできます。最後のルールは、すべてのユーザー(コンシューマ)用のキャッチオール・ルールです。これらのユーザーは、ローカル・パスワードまたはソーシャル・アイデンティティ・プロバイダを使用できます。

アイデンティティ・プロバイダ・ポリシーにはいくつかのアイデンティティ・プロバイダ・ルールを定義できるため、アイデンティティ・ドメインは、ルールが評価される順序を認識する必要があります。これを行うため、ルールの優先度を設定できます。前述の例は、会社の従業員のルールを最初に評価できます。ユーザーがこのルールの基準を満たす場合(つまり、ユーザーが従業員の場合)、ユーザーはAD FSで認証する必要があります。従業員でないユーザーは、このアイデンティティ・プロバイダ・ルールの基準を満たさないため、次に高い優先度を持つルールが評価されます。この例では、ユーザーのユーザー名が@partner1.comで終わる必要があるパートナ1のルールを示します。これらのユーザーは、パートナ1のSAMLアイデンティティ・プロバイダを使用して認証する必要があります。従業員でないか、@partner1.comで終わるユーザー名とパスワードを持たないユーザーの場合、アイデンティティ・ドメインは次に高い優先度番号を持つルール(ユーザーのユーザー名が@partner2.comで終わる必要があるパートナ2のルール)を評価します。これらのユーザーは、パートナ2のSAMLアイデンティティ・プロバイダを使用して認証する必要があります。他のすべてのユーザーは、キャッチオール・ルールの基準を満たしているため、ローカル・パスワードまたはソーシャル・アイデンティティ・プロバイダのいずれかを使用してサインインできます。

デフォルトのアイデンティティ・プロバイダ・ポリシーに加えて、アイデンティティ・プロバイダ・ポリシーを作成し、それらを特定のアプリケーションに関連付けることができます。いくつかのアプリケーションがあり、各アプリケーションに異なるアイデンティティ・プロバイダを割り当てるとします。たとえば、2つのアプリケーションがあり、FacebookまたはLinkedInからユーザーを認証する場合があります。そのため、1つのアプリケーションとFacebookソーシャル・アイデンティティ・プロバイダ専用のアイデンティティ・プロバイダ・ポリシーと、2番目のアプリケーションとLinkedInソーシャル・アイデンティティ・プロバイダ専用のアイデンティティ・プロバイダ・ポリシーを持つことができます。

アイデンティティ・ドメインでは、サインイン・ページに最大4つのアイデンティティ・プロバイダが表示されます。アイデンティティ・プロバイダ・ポリシーに4つより多くのアイデンティティ・プロバイダを割り当てると、ページに「すべてを表示」リンクが表示されます。リンクを選択すると、そのポリシーに関連付けられているすべてのアイデンティティ・プロバイダが表示されます。