強制再認証の有効化
有効なIDCSセッションが使用可能な場合でも、アプリケーションへのアクセス中にユーザーを強制的に再認証するには、REST APIエンドポイントを使用してforceReauthenticateAfterInMinutesを設定します。
ノート
この機能を有効にするには、access.sso.session.max.age機能を有効にする必要があります。
IDCSでは、属性forceReauthenticateAfterInMinutesがアプリケーション・レベルで保持されます。アプリケーションがIDCSに認証リクエストを行うと、IDCSは、最後の認証以降の期間がそのアプリケーションのforceReauthenticateAfterInMinutes属性で設定された値を超えているかどうかを評価します。存在する場合、IDCSはユーザーに再認証を強制します。デフォルト値はNULLで、再認証は強制されません。
この属性に使用可能な値:
-
NULL (デフォルト) - 再認証なし
-
-1 - 再認証なし
-
0 - 32767 - ユーザーが強制的に再認証されるまでの時間(分)
外部アイデンティティ・プロバイダで認証する場合、IDCSは外部IdPsで再認証を強制しようとします。
- OIDCの場合、IDCSは/authorizeリクエストのmax_age属性を渡します。
- SAMLの場合、外部アイデンティティ・プロバイダによってSAMLレスポンスで返されたAuthNInstantに基づいて、IDCSは
ForceAuthn=trueを使用して2番目のSAMLリクエストをIdPに送信します。
リクエストで受信したmax_age属性値は、アプリケーション・レベルで構成された
forceReauthenticateAfterInMinutes値より優先されます。ノート
IDCSが外部アイデンティティ・プロバイダとフェデレートされている場合、ユーザーが外部アイデンティティ・プロバイダによって強制的に再認証されるかどうかは、IDCSで保証できません。この動作は、外部アイデンティティ・プロバイダでのOIDC/SAMLプロトコルの実装方法によって異なります。
IDCSが外部アイデンティティ・プロバイダとフェデレートされている場合、ユーザーが外部アイデンティティ・プロバイダによって強制的に再認証されるかどうかは、IDCSで保証できません。この動作は、外部アイデンティティ・プロバイダでのOIDC/SAMLプロトコルの実装方法によって異なります。
アプリケーションの
forceReauthenticateAfterInMinutes属性を更新するCurl。
curl --location --request PATCH 'https://{{IDCS_HOST}}/admin/v1/Apps/{{APP_ID}}' --header 'X-RESOURCE-IDENTITY-DOMAIN-NAME: tenantsp' --header 'Authorization: Bearer {{IDENTITY_DOMAIN_ADMINSTRATOR_TOKEN}}' --header 'Content-Type: application/json' --data-raw '{
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp"
],
"Operations": [
{
"op": "add",
"path": "forceReauthenticateAfterInMinutes",
"value": {{value}}
}
]
}'