パスワードポリシーについて

管理者はパスワードポリシーを使用して、グループおよび認証プロバイダレベルでパスワード設定を強制適用できます。Oktaでは、強力なパスワードの使用を適用して、組織の資産をより適切に保護するためのデフォルトポリシーが提供されています。管理者は、制限の少ないまたは多い追加のポリシーを作成し、グループ・メンバーシップに基づいてそれらをユーザーに適用することもできます。

グループ・パスワード・ポリシーがすべての組織で有効になりました。

  • [Authentication(認証)]ページの[Password(パスワード)]タブには、すべてのグループパスワードポリシーが表示されます。最初はデフォルト・ポリシーとデフォルト・ルールのみが表示されます。

  • グループパスワードポリシーが以前に有効にされていなかった場合 、[Password(パスワード)]タブにレガシーポリシーと新しいデフォルトポリシーが表示されるようになりました。レガシーポリシーには、グループパスワードポリシーが有効にされたときに存在した組織設定が反映され、レガシールールと追加のデフォルトルールが含まれています。

    • デフォルトポリシーは編集できません。

  • グループパスワードポリシーが有効な場合、[People(ユーザー)]ページのユーザーの[Password Expired (パスワードの有効期限切れ)]カウントは表示されません。「すべてのユーザーパスワードを期限切れにする」を参照してください。

グループパスワードポリシーを使用する

グループパスワードポリシーでは、次のことが可能です。

  • パスワード・ポリシーと、グループおよび認証プロバイダー・レベルでパスワード設定を強制する関連ルールを定義する。
  • 制限の多いルールや制限の少ないルールを使用して複数のポリシーを作成し、異なるグループに適用する。
  • 強力なパスワードの使用を適用して、組織の資産をより適切に保護するためのポリシーを使用する。

ユーザーのOktaパスワードがパスワードポリシーの要件を満たし、パスワードポリシー自体は満たさない場合、プロビジョニング中にエラーが発生する可能性があります。Oktaパスワードポリシーがアプリケーションの要件(通常、大文字と小文字および記号または数字を含む8文字)を満たしていることを確認します。

Active Directory(AD)およびLDAPをソースとするユーザー

グループパスワードポリシーは、OktaとActive Directory(AD)およびLDAPをソースとするユーザーにのみ適用されます。

  • ADおよびLDAPをソースとするユーザーの場合、ADおよびLDAPのパスワードポリシーが、Oktaのポリシーと競合しないことを確認します。ADおよびLDAPをソースとするユーザーのパスワードは、ディレクトリサービスによって管理されます。たとえば、Microsoft Office 365やGoogle G Suiteなどの一部のアプリケーションでは、ユーザーのプロビジョニング時にOktaパスワードポリシーがチェックされ、Oktaポリシーがアプリケーションのパスワード要件を満たしていることが確認されます。
  • LDAPグループパスワードポリシー機能を無効にすると、以前のグループパスワードポリシーのオプションは保持されません。
  • LDAPグループパスワードポリシーが有効になっている場合、カスタムパスワードポリシーメッセージは使用できず、以前のパスワードポリシーメッセージは適用されません。
  • LDAP委任認証が無効になっている場合、LDAPグループパスワードポリシーはLDAPをソースとするユーザーには適用されなくなります。

ユーザーの作成時にはデフォルトのパスワードポリシーが適用されます。ユーザーの作成時にはパスワードポリシーのグループ割り当ては評価されません。

パスワードポリシーの評価

パスワード・ポリシーは、以下の基準を使用して評価されます。

  • パスワードの設定時に、複雑さの要件が評価されます。
  • 現在のポリシーおよびユーザーが最後にいつ自分のパスワードを設定したか。ただし、ユーザーのパスワードがすでに期限切れである場合は期限切れのままになります。
  • ADおよびLDAPをソースとするユーザーの場合、ADおよびLDAPの複雑さの要件が、ADおよびLDAPのインスタンスと一致する必要があります。

すべてのADおよびLDAPのパスワードポリシーが、ポリシーと競合しないことを確認します。

パスワードポリシーのタイプ

パスワード・ポリシーには4つのタイプがあります。

デフォルトポリシー

別のポリシーが適用されない限り、Oktaをソースとするすべてのユーザーがデフォルトポリシーに従います。デフォルトポリシーは無効化または削除できず、ポリシーリスト内でのランクは常に最も低くなります。

レガシーポリシー

以前のバージョンのプラットフォームでは、パスワードポリシー設定は[Security(セキュリティ)]>[ General(一般)]ページにありました。グループパスワードポリシーが有効になる前に作成された組織の場合、レガシーポリシーと関連するレガシールールが保持されます。組織の既存のパスワード・ポリシー設定が旧ポリシーにコピーされます。すべての旧ポリシーとルール設定は構成可能です。

Active Directoryポリシー

 現在1つ以上のActive Directory(AD)統合がある場合、ADポリシーが自動的に作成されます。このポリシーの要素とそのルールをカスタマイズできます。

LDAPポリシー

 現在1つ以上のLDAP統合がある場合、LDAPポリシーが自動的に作成されます。このポリシーの要素とそのルールをカスタマイズできます。

パスワードの複雑性の要件

複雑なパスワードを使用すると、ユーザーのアカウントのセキュリティーが向上します。パスワードの複雑性の要件を構成する際は、以下の情報を考慮してください。

  • ADをソースとするユーザーの場合、ADがこれらの要件を設定して強制適用します。Oktaの設定が強制適用をトリガーすることはありません。そのため、これらの設定がADの最小設定と同じであることを確認してください。
  • LDAPをソースとするユーザーの場合、LDAPがこれらの要件を設定して強制適用します。Oktaの設定が強制適用をトリガーすることはありません。そのため、これらの設定がLDAPの最小設定と同じであることを確認してください。

  • ADとLDAPをソースとしないユーザーの場合:

    Does not contain part of username(ユーザー名の一部を含まない):この要件は、区切り文字(., ,, -, _, #, and @)に基づいて、ログインIDの一部を含むパスワードを拒否します。たとえば、このオプションを選択すると、ログインIDがjohn.smith@okta.comの場合、johnsmithoktaを含むパスワードを拒否します。

  • ADおよびLDAPをソースとしないユーザーの場合、[Does not contain first name(名を含まない)]または [Does not contain last name(姓を含まない)]のオプションを選択すると、ユーザーの名または姓の全体が除外されます。このオプションをオンにすると、パスワードに名または姓の全体を含めることができなくなります。このオプションは3文字以上の名前にのみ適用され、大文字と小文字は区別されません。

関連項目

パスワード・ポリシーを構成する

多要素認証登録ポリシーについて

Oktaサインオン・ポリシーについて

アプリ・サインオン・ポリシーについて

Oktaサインオンポリシーを構成する

MFA登録ポリシーを構成する

アプリサインオンポリシーを構成する