ネイティブ・アプリケーション・ポリシーの作成に関する考慮事項

オンラインで編集

ネイティブ・アプリケーション・ポリシーでは、ユーザー認証の前に第 1 要素ルールが適用されます。 ユーザー認証後は、従来の MFA ルールを適用できます。

第 1 要素ルールの作成

第 1 要素ルールは、ユーザーやサブジェクトが認識される前にクライアントから提示されるコンテキスト情報によって適用されます。 ルールでトリガーできるアクションには以下のものがあります。
提示されたコンテキストに基づいたアクセスの拒否
例えば、アクセス元を特定のロケーションに限定する単純な地理位置情報ルールなどです。
ユーザーが第 1 要素認証を実行する方法の変更
例えば、ユーザーが企業ネットワークに接続していない場合は (IP ルール)、パスワード認証の代わりに FIDO2 を使用する必要があります。

第 1 要素ルールは、policyauth 付与タイプが使用されているフローでのみ使用されます。 password 付与または非送信請求 jwtBearer 付与が使用されている場合は、初期認証済みコンテキストが検証された後に第 2 要素ルールが使用されます。

第 1 要素条件の作成

ユーザーとサブジェクトが存在しないため、ルールで使用できる条件の数が減ります。 現在サポートされている条件は以下のとおりです。
  • コンテキスト条件
    • /token への要求で提供されるコンテキストに基づきます。
    • 実行される OAuth フローのタイプに基づいてポリシーを変更するために使用できます。
  • IP 条件
  • ロケーション条件

第 2 要素ルールの作成

API 駆動の付与タイプでも第 2 要素ルールを作成することは変わりません。 ただし、従来のブラウザー SSO のフローとは異なります。 従来のフローでは、アクセス・ポリシーが適用されるコンテキスト (セッション) のスコープが、ブラウザーのセッションに設定されます。 API 駆動の付与タイプではスコープが OAuth 付与全体の存続時間に設定されるため、時間スケールははるかに長くなる可能性があります。