Okta MobileとMFAおよびセッションの有効期限設定の連携方法

多要素認証(MFA)とセッション有効期限設定が、AndroidとiOSデバイス上のエンドユーザーMFAオプションと連携する方法について説明します。

Okta管理コンソールで設定するオプションは、モバイルデバイスとユーザーの設定、およびOkta Mobileアプリの状態と相互作用します。この相互作用により、Okta MobileユーザーがMFAを要求され、PIN、指紋、またはFace IDを使用してOkta Mobileのロックを解除するよう促されるタイミングが決まります。

Okta Mobileのインアクティブ状態が長く続いた場合、ユーザーは再認証する必要があります。Okta Mobileを30日以上使用しなかった場合、次回Okta Mobileを開くときにOkta資格情報を入力するように求められます。30日使用されなかった場合、Okta Mobileは認証期限が切れる内部トークンに依存するためです。このトークンの期限切れは、PINやMFAの期限切れとは異なります。

iOSデバイス上のOkta Mobile

管理者がサインオンポリシールール:
要素のプロンプトを設定する		ユーザーが[Do not challenge me on this device(このデバイス上でチャレンジしない)]オプションを選択するユーザーは[Do not challenge me on this device(このデバイス上でチャレンジしない)]オプションを選択しない

デバイスごと

  • Oktaはユーザーが最初にOkta Mobileを起動したときにMFAを求める。
  • 後続セッションではMFAを求めない。

  • 期待される動作:Oktaは、ユーザーがOkta Mobileを起動またはロック解除するたびにMFAを求める。

  • 既知の問題:Oktaは、ユーザーがOkta Mobileを起動するとき、および期限切れになった後に初めてOkta Mobileをロック解除するときにのみMFAを求める。

毎回

  • [Do not challenge me on this device(このデバイス上でチャレンジしない)]オプションはOkta Mobileでは使用できない。
  • Oktaは、ユーザーがOkta Mobileを起動またはロック解除するたびにMFAを求める。

セッションごと

  • Oktaは、[Factor Lifetime(要素のライフタイム)]設定で指定した期間Okta Mobileを起動またはロック解除してもMFAを求めない。
  • ユーザーは [Factor Lifetime(要素のライフタイム)]の値を見ることはできるが変更できない。

  • 期待される動作:Oktaは、ユーザーがOkta Mobileを起動またはロック解除するたびにMFAを求める。[Factor Lifetime(要素のライフタイム)]設定は効果がない。

  • 既知の問題:

    • 指定されている[Factor Lifetime(要素のライフタイム)]より前にユーザーがOkta Mobileを閉じて再起動した場合、MFAを求められるべきであるが、求められない。
    • 指定されている[Factor Lifetime(要素のライフタイム)]よりあとにユーザーがOkta Mobileを閉じて再起動した場合、期待通りにMFAを求められるが、ユーザーが選択しなかったにもかかわらず[Factor Lifetime(要素のライフタイム)]オプションが選択されている。

Okta管理コンソールでのオプション

Okta Mobileの状態
Okta Mobileが最前面にあり、
例えば11分アイドル状態		Okta Mobileがバックグラウンドにあり、
例えば11分アイドル状態

[Session expires after(セッションは次の経過後に期限切れになります)]
例:10分
[Security(セキュリティ)]>[Authentication(認証)]>[Sign On(サインオン)]タブ

  • ユーザーセッションがアクティブのまま。
  • Okta Mobileがロックされない。
ユーザーセッション期限切れかPINタイムアウトによりOkta Mobileがロックされた。ユーザーがOkta Mobileをロック解除しようとすると、OktaがPINまたは指紋の入力を求める。

[Ask for PIN when user is inactive for(ユーザーが次の時間非アクティブなときにPINを要求します)]
例:10分
[Security(セキュリティ)]>[General(一般)]>[Okta Mobile]

  • 予想される動作:Okta Mobileがロックされ、ユーザーがアプリのロックを解除しようとすると、PINまたは指紋の入力が求められます。

  • 既知の問題:ユーザーの非アクティブ設定が適用されません。Okta Mobileはアクティブのままで、ユーザーはPINを入力することなくアプリを使用できる。

Androidデバイス上のOkta Mobile

管理者がサインオンポリシールール:
要素のプロンプトを設定する		ユーザーが[Do not challenge me on this device(このデバイス上でチャレンジしない)]オプションを選択するユーザーは[Do not challenge me on this device(このデバイス上でチャレンジしない)]オプションを選択しない

デバイスごと

  • Oktaはユーザーが最初にOkta Mobileを起動したときにMFAを求める。
  • 後続セッションではMFAを求めない。
Oktaは、ユーザーがOkta Mobileを起動またはロック解除するたびにMFAを求める。

毎回

  • [Do not challenge me on this device(このデバイス上でチャレンジしない)]オプションはOkta Mobileでは使用できない。
  • Oktaは、ユーザーがOkta Mobileを起動またはロック解除するたびにMFAを求める。

セッションごと

  • Oktaは、[Factor Lifetime(要素のライフタイム)]設定で指定した期間Okta Mobileを起動またはロック解除してもMFAを求めない。
  • ユーザーは [Factor Lifetime(要素のライフタイム)]の値を見ることはできるが変更できない。
Oktaは、ユーザーがOkta Mobileを起動またはロック解除するたびにMFAを求める。[Factor Lifetime(要素のライフタイム)]設定は効果がない。

Okta管理コンソールでのオプション

Okta Mobileの状態
Okta Mobileが最前面にあり、
例えば11分アイドル状態		Okta Mobileがバックグラウンドにあり、
例えば11分アイドル状態

[Session expires after(セッションは次の経過後に期限切れになります)]
例:10分
[Security(セキュリティ)]>[Authentication(認証)]>[Sign On(サインオン)]タブ

  • ユーザーセッションがアクティブのまま。
  • Okta Mobileがロックされない。

  • 予想される動作:ユーザーセッション期限切れかPINタイムアウトによりOkta Mobileがロックされる。ユーザーがOkta Mobileをロック解除しようとすると、OktaがPINまたは指紋の入力を求める。

  • 既知の問題:セッション時間切れ時の設定が適用されない。Okta Mobileはアクティブのままで、ユーザーはPINを入力することなくアプリを使用できる。

[Ask for PIN when user is inactive for(ユーザーが次の時間非アクティブなときにPINを要求します)]
例:10分
[Security(セキュリティ)]>[General(一般)]>[Okta Mobile]

  • 予想される動作:Okta Mobileがロックされ、ユーザーがアプリのロックを解除しようとすると、PINまたは指紋の入力が求められます。

  • 既知の問題:ユーザーの非アクティブ設定が適用されません。Okta Mobileはアクティブのままで、ユーザーはPINを入力することなくアプリを使用できる。

関連項目

多要素認証

OMMデバイスを管理する

OMMポリシーを構成する