Oktaサインオンポリシーへのネットワークゾーンの追加
ネットワークゾーンをOktaサインオンポリシーに追加して、ネットワークアクセスを管理します。
- Admin Consoleで、[Security(セキュリティ)] > [Authentication(認証)]に移動します。
- [Sign On(サインオン)]タブをクリックします。
- 左のメニューでサインオンポリシーを選択します。
- [Add Rule(ルールを追加)]をクリックします。
-
[Rule Name(ルール名)]フィールドに、作成するルールのわかりやすい名前を追加します。
-
[Add Rule(ルールを追加)]ダイアログで、以下のフィールドに入力します。
-
Rule Name(ルール名):ルールの名前を入力します。
-
オプション。[Exclude users(ユーザーを除外)]フィールドに、ルールから除外するグループの個々のユーザーを示します。
-
IF User's IP Address is(ユーザーのIPアドレスが次の場合):任意。このルールを適用する場所を選択します。
[In zone(ゾーン内)]を選択するとゾーン内のユーザーにルールが適用され、[Not in zones(ゾーン外)]を選択するとIPゾーン外のユーザーにルールが適用されます。
ゾーンを選択した後、ゾーン名を入力する必要があります。ゾーンが使用可能でない場合、作成できます。「ネットワークゾーンの作成と構成」を参照してください。
-
AND Authenticates via(認証方法):任意。ユーザーの認証方法を選択します。
-
AND Behavior is(動作は):オプション。定義する動作の名前を入力します。使用できる動作がない場合は、作成できます。「行動検知の構成」を参照してください。
-
AND Risk is(リスクは):任意。ルールのリスクレベルを選択します。「リスクスコアリング」を参照してください。
-
THEN Access is(アクセスは): [Allowed(許可)]または[Denied(拒否)] を選択して、ルールの基準が満たされた場合にユーザーアクセスを許可するか拒否するかを指定します。[Allowed(許可)]を選択した場合には以下のオプションを選択できます。
-
Prompt for Factor(要素の入力を求める):ユーザーに多要素認証を入力するように求めるにはこのオプションを選択します。 [Multifactor Authentication(多要素認証)]をクリックして、多要素設定を表示、指定します。「多要素認証」を参照してください。
-
Per Device(デバイスごと):1台のデバイスに1度だけ多要素認証を使用するにはこのオプションを選択します。
-
Every Time(毎回):ユーザーがサインインするごとに多要素認証を使用するにはこのオプションを選択します。
-
Per Session(セッションごと):ユーザーが新しいセッションを開始するごとに多要素認証を使用するにはこのオプションを選択します。
-
-
Factor Lifetime(要素のライフタイム):オプション。多要素認証チャレンジを表示する期間を設定します。デフォルトは15分で、最大期間は6か月です。要素のライフタイムを設定すると、エンドユーザーが[Factor Lifetime(要素のライフタイム)]で指定されている期間ほどサインアウトした後、次回のサインインでMFAに対して再びサインインする必要がありません。エンド・ユーザーはボックスをオンにして、この設定を適用することを確認する必要があります。その例の一つは、「Do not challenge me on this device for the next 15 minutes(今後15分間チャレンジしない)」です。この場合、サインアウト後に、多要素認証を使用した最後のサインインから15分以内に新規サインインを実行すると、多要素認証プロンプトは表示されません。ユーザーがボックスをオンにしない場合、常に多要素認証が求められます。前回のサインインからの経過時間がダッシュボードの下部に表示されますが、最新値を見るためには画面を更新する必要があります。
-
Session expires after(セッション有効期限):オプション。セッションの有効期限が切れて認証プロンプトをアクティベートするまでの期間を分、時間、日で設定します。セッションのライフタイムはデフォルトで2時間となっていて、最長の許容期間は90日です。この値は総接続時間ではなく、残りのセッション時間が5分になった時点でユーザーにカウントダウンタイマーが表示されるまでのアイドル時間です。
-
-
[Create Rule(ルールを作成)]をクリックします。
ネットワークゾーンを編集するたびに、変更がすべてのサーバーに反映されて有効になるまで、約60秒待つ必要があります。