Okta MobileでのMFAおよびセッション有効期限設定の仕組み

多要素認証（MFA）とセッション有効期限の設定が、 AndroidおよびiOS デバイスのエンド・ユーザーMFAオプションとどのように相互作用するかを学びます。

Okta管理コンソールで構成するオプションは、モバイル・デバイスのユーザー設定およびOkta Mobileアプリの状態と相互作用します。このインタラクションにより、Okta MobileユーザーがOkta Mobileのロックを解除するためにいつMFAを要求されるか、またはPIN、指紋、またはFace IDを使用するよう求められるかが決まります。

Okta Mobileを長期間使用しなかった場合、再認証が必要です。Okta Mobileを30日以上使用していない場合、Okta Mobileを開く際にOkta資格情報の入力が求められます。Okta Mobileでは、30日間何も操作しないと期限切れとなる認証用内部トークンを使用しているため、この現象が発生します。このトークンの期限切れは、PINおよびMFAの有効期限切れとは異なります。

iOS デバイス上のOkta Mobile
Androidデバイス上のOkta Mobile

iOSデバイス上のOkta Mobile

管理者がサインオン・ポリシー・ルールを設定：要素を求める	ユーザーがオプション[このデバイスでは要求しない]を選択する	ユーザーがオプション[このデバイスでは要求しない]を選択しない
デバイスごと	Oktaでは、Okta Mobileの初回起動時にユーザーに MFAの入力が求められます。その後のセッションではMFA プロンプトは表示されません。	予想される動作：ユーザーがOkta Mobileを起動またはロック解除するたびに、MFA の入力が要求されます。既知の問題： OktaがユーザーにMFAの入力を求めるのは、ユーザーがOkta Mobileを起動していて、期限切れセッションの後にOkta Mobileのロックを解除したときのみです。
毎回	[このデバイスでは要求しない]オプションはOkta Mobileでは使用できません。ユーザーがOkta Mobileを起動またはロック解除するたびに、OktaからMFA の入力が求められます。
セッションごと	[要素のライフタイム]設定で指定した期間中にユーザーがOkta Mobileを起動またはロック解除しても、 MFAを求めるメッセージは表示されません。ユーザーは[要素のライフタイム]の値を確認できますが変更はできません。	予想される動作：ユーザーがOkta Mobileを起動またはロック解除するたびに、MFA の入力が要求されます。[要素のライフタイム]設定は無効です。既知の問題：ユーザーがOkta Mobileを閉じ、指定した[要素のライフタイム]の前にOkta Mobileを再起動した場合、ユーザーにMFAを要求すべきであるにもかかわらず要求されません。ユーザーがOkta Mobileを閉じ、指定した[要素のライフタイム]の後にOkta Mobileを再起動した場合、期待通りにMFAが要求されます。ただし、ユーザーは選択していないにもかかわらず、[このデバイスでは要求しない]オプションが選択されます。

Okta管理コンソールのオプション	Okta Mobileの状態
セッションは次の経過後に期限切れになります例：10分 [セキュリティー] > [認証] > [サインオン]タブ	ユーザー・セッションはアクティブなままです。 Okta Mobileはロックされていません。	ユーザー・セッションが期限切れか、PIN がタイムアウトし、Okta Mobileがロックされています。Okta Mobileのロックを解除しようとすると、Oktaから PIN または指紋の入力を求められます。
ユーザーが非アクティブなときに PINを要求例：10分 [セキュリティー] > [一般] > [Okta Mobile]	予想される動作： Okta Mobileがロックされ、ユーザーがアプリのロックを解除しようとすると、PIN または指紋の入力が求められます。既知の問題：ユーザーの非アクティブ設定が適用されません。Okta Mobileはアクティブなままなので、ユーザーはPINを入力しなくてもアプリを使い続けることができます。

Okta管理コンソールのオプション

Okta Mobileの状態

Okta Mobileはフォアグラウンドでアイドル状態
例：11分

Okta Mobileはバックグラウンドまたはロックされている
例：11分

セッションは次の経過後に期限切れになります
例：10分
[セキュリティー] > [認証] > [サインオン]タブ

ユーザー・セッションはアクティブなままです。
Okta Mobileはロックされていません。

ユーザー・セッションが期限切れか、PIN がタイムアウトし、Okta Mobileがロックされています。Okta Mobileのロックを解除しようとすると、Oktaから PIN または指紋の入力を求められます。

ユーザーが非アクティブなときに PINを要求
例：10分
[セキュリティー] > [一般] > [Okta Mobile]

予想される動作： Okta Mobileがロックされ、ユーザーがアプリのロックを解除しようとすると、PIN または指紋の入力が求められます。
既知の問題： ユーザーの非アクティブ設定が適用されません。Okta Mobileはアクティブなままなので、ユーザーはPINを入力しなくてもアプリを使い続けることができます。

Androidデバイス上のOkta Mobile

管理者がサインオン・ポリシー・ルールを設定：要素を求める	ユーザーがオプション[このデバイスでは要求しない]を選択する	ユーザーがオプション[このデバイスでは要求しない]を選択しない
デバイスごと	Oktaでは、Okta Mobileの初回起動時にユーザーに MFAの入力が求められます。その後のセッションではMFA プロンプトは表示されません。	ユーザーがOkta Mobileを起動またはロック解除するたびに、OktaからMFA の入力が求められます。
毎回	[このデバイスでは要求しない]オプションはOkta Mobileでは使用できません。ユーザーがOkta Mobileを起動またはロック解除するたびに、OktaからMFA の入力が求められます。
セッションごと	[要素のライフタイム]設定で指定した期間中にユーザーがOkta Mobileを起動またはロック解除しても、 MFAを求めるメッセージは表示されません。ユーザーは[要素のライフタイム]の値を確認できますが変更はできません。	ユーザーがOkta Mobileを起動またはロック解除するたびに、OktaからMFA の入力が求められます。[要素のライフタイム]設定は無効です。

Okta管理コンソールのオプション	Okta Mobileの状態
セッションは次の経過後に期限切れになります例：10分 [セキュリティー] > [認証] > [サインオン]タブ	ユーザー・セッションはアクティブなままです。 Okta Mobileはロックされていません。	予想される動作：ユーザー・セッションが期限切れか、PIN がタイムアウトし、Okta Mobileがロックされます。Okta Mobileのロックを解除しようとすると、Oktaから PIN または指紋の入力を求められます。既知の問題：セッション有効期限の設定が適用されません。Okta Mobileはアクティブなままなので、ユーザーはPINを入力しなくてもアプリを使い続けることができます。
ユーザーが非アクティブなときに PINを要求例：10分 [セキュリティー] > [一般] > [Okta Mobile]	予想される動作： Okta Mobileがロックされ、ユーザーがアプリのロックを解除しようとすると、PIN または指紋の入力が求められます。既知の問題：ユーザーの非アクティブ設定が適用されません。Okta Mobileはアクティブなままなので、ユーザーはPINを入力しなくてもアプリを使い続けることができます。