Okta MobileでのMFAおよびセッション有効期限設定の仕組み

多要素認証(MFA) とセッション有効期限の設定が、 AndroidおよびiOS デバイスのエンド・ユーザーMFAオプションとどのように相互作用するかを学びます。

Okta管理コンソールで構成するオプションは、モバイル・デバイスのユーザー設定およびOkta Mobileアプリの状態と相互作用します。このインタラクションにより、Okta MobileユーザーがOkta Mobileのロックを解除するためにいつMFAを要求されるか、またはPIN、指紋、またはFace IDを使用するよう求められるかが決まります。

Okta Mobileを長期間使用しなかった場合、再認証が必要です。Okta Mobileを30日以上使用していない場合、Okta Mobileを開く際にOkta資格情報の入力が求められます。Okta Mobileでは、30日間何も操作しないと期限切れとなる認証用内部トークンを使用しているため、この現象が発生します。このトークンの期限切れは、PINおよびMFAの有効期限切れとは異なります。

iOSデバイス上のOkta Mobile

管理者がサインオン・ポリシー・ルールを設定:
要素を求める
ユーザーがオプション[このデバイスでは要求しない]を選択するユーザーがオプション[このデバイスでは要求しない]を選択しない

デバイスごと

  • Oktaでは、Okta Mobileの初回起動時にユーザーに MFAの入力が求められます。
  • その後のセッションではMFA プロンプトは表示されません。
予想される動作: ユーザーがOkta Mobileを起動またはロック解除するたびに、MFA の入力が要求されます。
既知の問題: OktaがユーザーにMFAの入力を求めるのは、 ユーザーがOkta Mobileを起動していて、期限切れセッションの後にOkta Mobileのロックを解除したときのみです。

毎回

  • [このデバイスでは要求しない]オプションはOkta Mobileでは使用できません。
  • ユーザーがOkta Mobileを起動またはロック解除するたびに、OktaからMFA の入力が求められます。

セッションごと

  • [要素のライフタイム]設定で指定した期間中にユーザーがOkta Mobileを起動またはロック解除しても、 MFAを求めるメッセージは表示されません。
  • ユーザーは[要素のライフタイム]の値を確認できますが変更はできません。
予想される動作: ユーザーがOkta Mobileを起動またはロック解除するたびに、MFA の入力が要求されます。[要素のライフタイム]設定は無効です。
既知の問題:
  • ユーザーがOkta Mobileを閉じ、指定した[要素のライフタイム]前にOkta Mobileを再起動した場合、ユーザーにMFAを要求すべきであるにもかかわらず要求されません。
  • ユーザーがOkta Mobileを閉じ、指定した[要素のライフタイム]後にOkta Mobileを再起動した場合、期待通りにMFAが要求されます。ただし、ユーザーは選択していないにもかかわらず、[このデバイスでは要求しない]オプションが選択されます。

Okta管理コンソールのオプション

Okta Mobileの状態
Okta Mobileはフォアグラウンドでアイドル状態
例:11分
Okta Mobileはバックグラウンドまたはロックされている
例:11分

セッションは次の経過後に期限切れになります
例:10分
[セキュリティー] > [認証] > [サインオン]タブ

  • ユーザー・セッションはアクティブなままです。
  • Okta Mobileはロックされていません。
ユーザー・セッションが期限切れか、PIN がタイムアウトし、Okta Mobileがロックされています。Okta Mobileのロックを解除しようとすると、Oktaから PIN または指紋の入力を求められます。

ユーザーが非アクティブなときに PINを要求
例:10分
[セキュリティー] > [一般] > [Okta Mobile]

予想される動作: Okta Mobileがロックされ、ユーザーがアプリのロックを解除しようとすると、PIN または指紋の入力が求められます。
既知の問題: ユーザーの非アクティブ設定が適用されません。Okta Mobileはアクティブなままなので、ユーザーはPINを入力しなくてもアプリを使い続けることができます。

Androidデバイス上のOkta Mobile

管理者がサインオン・ポリシー・ルールを設定:
要素を求める
ユーザーがオプション[このデバイスでは要求しない]を選択するユーザーがオプション[このデバイスでは要求しない]を選択しない

デバイスごと

  • Oktaでは、Okta Mobileの初回起動時にユーザーに MFAの入力が求められます。
  • その後のセッションではMFA プロンプトは表示されません。
ユーザーがOkta Mobileを起動またはロック解除するたびに、OktaからMFA の入力が求められます。

毎回

  • [このデバイスでは要求しない]オプションはOkta Mobileでは使用できません。
  • ユーザーがOkta Mobileを起動またはロック解除するたびに、OktaからMFA の入力が求められます。

セッションごと

  • [要素のライフタイム]設定で指定した期間中にユーザーがOkta Mobileを起動またはロック解除しても、 MFAを求めるメッセージは表示されません。
  • ユーザーは[要素のライフタイム]の値を確認できますが変更はできません。
ユーザーがOkta Mobileを起動またはロック解除するたびに、OktaからMFA の入力が求められます。[要素のライフタイム]設定は無効です。


Okta管理コンソールのオプション

Okta Mobileの状態
Okta Mobileはフォアグラウンドでアイドル状態
例:11分
Okta Mobileはバックグラウンドまたはロックされている
例:11分

セッションは次の経過後に期限切れになります
例:10分
[セキュリティー] > [認証] > [サインオン]タブ

  • ユーザー・セッションはアクティブなままです。
  • Okta Mobileはロックされていません。
予想される動作: ユーザー・セッションが期限切れか、PIN がタイムアウトし、Okta Mobileがロックされます。Okta Mobileのロックを解除しようとすると、Oktaから PIN または指紋の入力を求められます。
既知の問題: セッション有効期限の設定が適用されません。Okta Mobileはアクティブなままなので、ユーザーはPINを入力しなくてもアプリを使い続けることができます。

ユーザーが非アクティブなときに PINを要求
例:10分
[セキュリティー] > [一般] > [Okta Mobile]

予想される動作: Okta Mobileがロックされ、ユーザーがアプリのロックを解除しようとすると、PIN または指紋の入力が求められます。
既知の問題: ユーザーの非アクティブ設定が適用されません。Okta Mobileはアクティブなままなので、ユーザーはPINを入力しなくてもアプリを使い続けることができます。

関連項目

多要素認証(MFA)

デバイス

Okta Mobility Management(OMM)ポリシーを構成する