パスワード ポリシーについて
パスワードポリシーにより、管理者は、グループおよび認証プロバイダレベルでパスワード設定を強制適用パスワード ポリシーと関連ルールOktaは、組織の資産をより良く保護するための強力なパスワードの使用を強制適用するデフォルト ポリシーを提供します。管理者はまた、グループ メンバーシップに基づいてユーザーに適用する、制限の程度の異なる追加ポリシーも作成します。
グループパスワードポリシーがすべての組織で有効になりました。
- [Authentication(認証)]ページの [Password(パスワード)]タブにすべてのグループパスワード ポリシーが表示されます。最初は、デフォルトポリシーとデフォルトルールのみが表示されます。
-
グループパスワードポリシーがまだ有効になっていなかった場合、[Password(パスワード)]タブにレガシーポリシーと新しいデフォルトポリシーが表示されます。レガシーポリシーはグループパスワードポリシーが有効にされたときの組織の設定を反映し、レガシールールと追加のデフォルトルールが含まれます。
- グループパスワードポリシーが有効にされた場合、[People(ユーザー)]ページ上のユーザーの[Password Expired (期限切れパスワード)]数は表示されません。すべてのユーザーパスワードを期限切れにするを参照してください。

デフォルト ポリシーは編集できません。
パスワードポリシーの使用
グループパスワードポリシーでは、以下のことができます。
- パスワード設定をグループおよび認証プロバイダレベルで強制適用するためのパスワードポリシーと関連ルールを定義します。
- ルールの厳格性が異なる複数ポリシーを作成し、異なるグループに適用します。
- 組織の資産をより良く保護するための強力なパスワードの使用を強制適用するポリシーを使用します。
ユーザーのOktaパスワードがパスワードポリシー要件を満たすが、パスワードポリシー自体は満たさない場合にプロビジョニング時にエラーが発生する可能性があります。Oktaパスワードポリシーがアプリケーションの要件を満たすようにします(通常、大文字と小文字および記号または数字を含む8文字)。
Active Directory(AD)およびLDAP マスターユーザー
グループパスワードポリシーは、OktaとActive Directory(AD)および LDAP マスターユーザーのみに強制適用されます。
- ADとLDAP マスターユーザーの場合、ADとLDAPパスワードポリシーにOktaポリシーとの不一致がないことを確認します。ADとLDAP マスターユーザーのパスワードは引き続きディレクトリサービスで管理されます。たとえば、Microsoft Office 365や Google G Suiteなどのアプリケーションでは、ユーザーのプロビジョニング時にOktaパスワードポリシーをチェックして、Oktaポリシーがアプリケーションのパスワード要件を満たすことを確認します。
-
LDAPグループパスワードポリシー機能を無効にした後、それまでのグループパスワードポリシーオプションは保持されません。
-
LDAPグループパスワードポリシー機能を有効にすると、カスタムパスワードポリシーメッセージは使用できなくなり、それまでのパスワードポリシーメッセージは適用されなくなります。
-
LDAP代理認証を無効にすると、LDAPグループ パスワード ポリシーはLDAP マスターユーザーに適用されなくなります。

ユーザーを作成するとき、デフォルトパスワードポリシーが適用されます。ユーザーを作成するとき、グループ割り当てのパスワードポリシーは評価されません。
パスワードポリシーの評価
パスワードポリシーは、次の基準を用いて評価されます。
- パスワードを設定するとき、複雑性の要件が評価されます。
- 現在のポリシーおよびユーザーが前回パスワードを設定したとき。ただし、ユーザーのパスワードがすでに期限が切れている場合は期限切れのままになります。
- ADおよび LDAPマスターユーザーの場合、ADとLDAPの複雑性要件は DおよびLDAPインスタンスに一致すべきです。

すべてのADおよびLDAPパスワードポリシーにポリシー間の不一致がないことを確認します。
パスワードポリシータイプ
パスワードポリシーには4つのタイプがあります。
デフォルトポリシー | デフォルト以外のポリシーが適用されていない限り、すべてのOktaマスターユーザーにデフォルトポリシーが適用されます。デフォルトポリシーはディアクティベートも削除もできず、常にポリシーリストの最下位に置かれています。 |
レガシーポリシー | プラットフォームの古いバージョンでは、パスワードポリシー設定は[Security(セキュリティ)] > [ General(全般)]にありました。グループパスワードポリシーが有効にされる前に作成された組織では、レガシーポリシーとそれに関連するレガシールールが保持されます。組織の既存のパスワードポリシー設定がレガシーポリシーにコピーされます。すべてのレガシーポリシーおよびルール設定は変更可能です。 |
Active Directoryポリシー | 現在1つまたは複数のActive Directory(AD)統合があれば、ADポリシーが自動的に作成されます。ポリシーとそのルールの要素をカスタマイズできます。 |
LDAPポリシー | 現在1つまたは複数のLDAP統合があれば、LDAPポリシーが自動的に作成されます。ポリシーとそのルールの要素をカスタマイズできます。 |
パスワード複雑性の要件
複雑なパスワードはユーザーアカウントのセキュリティを強化します。パスワード複雑性の要件をセキュリティを設定するとき、以下の事項を考慮してください。
-
ADマスターユーザーの場合、これらの要件はADで設定および強制適用されます。Oktaの設定でトリガーされる強制適用はありません。そのため、これらの設定にADの最小設定を重複させるようにしてください。
- LDAPマスターユーザーの場合、これらの要件はLDAPで設定および強制適用されます。Oktaの設定でトリガーされる強制適用はありません。そのため、これらの設定にLDAPの最小設定を重複させるようにしてください。
-
非ADおよびLDAPマスターユーザー:
ユーザー名の一部を含まない: ユーザー名はメールアドレスの@より前の部分です。たとえば、johnsmith@okta.comでは、 johnsmithがユーザー名です。このオプションを選択すると、ユーザー名全体または一部を含むパスワードは拒否されます。
-
非AD およびLDAPマスターユーザーの場合、Does not contain first nameまたはDoes not contain last name オプションを選択すると、ユーザーの姓または名全体が除外されます。このオプションを選択することで、パスワードに姓または名全体が含まれないことを確実にすることができます。このオプションは、3文字以上の名前にのみ適用され、大文字と小文字は区別されません。