パスワード・ポリシーについて

管理者はパスワード・ポリシーを使用して、パスワード・ポリシーと、グループおよび認証プロバイダー・レベルでパスワード設定を強制する関連ルールを定義できます。Oktaでは、強力なパスワードの使用を適用して、組織の資産をより適切に保護するための、デフォルト・ポリシーが提供されています。管理者は、制限の少ないまたは多い追加のポリシーを作成し、グループ・メンバーシップに基づいてそれらをユーザーに適用することもできます。

グループ・パスワード・ポリシーがすべての組織で有効になりました。

  • [認証]ページの[パスワード]タブには、すべてのグループ・パスワード・ポリシーが表示されます。最初はデフォルト・ポリシーとデフォルト・ルールのみが表示されます。
  • グループ・パスワード・ポリシーが以前に有効にされていなかった場合 、[パスワード]タブに旧ポリシーと新しいデフォルト・ポリシーが表示されるようになりました。旧ポリシーには、グループ・パスワード・ポリシーが有効にされたときに存在した組織設定が反映され、旧ルールと追加のデフォルト・ルールが含まれています。

  • 注

    デフォルトのポリシーは編集できません。

  • グループ・パスワード・ポリシーが有効な場合、[ユーザー]ページのユーザーの[パスワードの有効期限切れ]カウントは表示されません。「すべてのユーザー・パスワードを期限切れにする」を参照してください。

グループ・パスワード・ポリシーを使用する

グループ・パスワード・ポリシーでは、次のことが可能です。

  • パスワード・ポリシーと、グループおよび認証プロバイダー・レベルでパスワード設定を強制する関連ルールを定義する。
  • 制限の多いルールや制限の少ないルールを使用して複数のポリシーを作成し、異なるグループに適用する。
  • 強力なパスワードの使用を適用して、組織の資産をより適切に保護するためのポリシーを使用する。

ユーザーのOktaパスワードがパスワード・ポリシーの要件を満たし、パスワード・ポリシー自体は満たさない場合、プロビジョニング中にエラーが発生する可能性があります。Oktaパスワード・ポリシーがアプリケーションの要件(通常は8文字で、大文字と小文字を使用し、記号または数字を使用する)を満たしていることを確認します。

Active Directory(AD)およびLDAPでマスタリングされるユーザー

グループ・パスワード・ポリシーは、OktaとActive Directory(AD)およびLDAPでマスタリングされるユーザーにのみ適用されます。

  • ADおよびLDAPでマスタリングされるユーザーの場合、ADおよびLDAPのパスワード・ポリシーが、Oktaのポリシーと競合しないことを確認します。 ADおよびLDAPでマスタリングされるユーザーのパスワードは、引き続きディレクトリ・サービスによって管理されます。 たとえば、Microsoft Office 365やGoogle G Suiteなどの一部のアプリケーションでは、ユーザーのプロビジョニング時にOktaパスワード・ポリシーがチェックされ、Oktaポリシーがアプリケーションのパスワード要件を満たしていることが確認されます。
  • LDAPグループ・パスワード・ポリシー機能を無効にすると、以前のグループ・パスワード・ポリシーのオプションは保持されません。

  • LDAPグループ・パスワード・ポリシー機能が有効になっている場合、カスタム・パスワード・ポリシー・メッセージは使用できず、以前のパスワード・ポリシー・メッセージは適用されません。

  • LDAP委任認証が無効になっている場合、LDAPグループ・パスワード・ポリシーはLDAPでマスタリングされるユーザーには適用されなくなります。

注

ユーザーの作成時にはデフォルトのパスワード・ポリシーが適用されます。ユーザーの作成時にはパスワード・ポリシーのグループ割り当ては評価されません。

パスワード・ポリシーの評価

パスワード・ポリシーは、以下の基準を使用して評価されます。

  • パスワードの設定時に、複雑さの要件が評価されます。
  • 現在のポリシーおよびユーザーが最後にいつ自分のパスワードを設定したか。ただし、ユーザーのパスワードがすでに期限切れである場合を除きます。この場合は期限切れのままです。
  • ADおよびLDAPでマスタリングされるユーザーの場合、ADおよびLDAPの複雑さの要件が、ADおよびLDAPのインスタンスと一致する必要があります。
注

すべてのADおよびLDAPのパスワード・ポリシーが、ポリシーと競合しないことを確認します。

パスワード・ポリシーのタイプ

パスワード・ポリシーには4つのタイプがあります。

デフォルト・ポリシー

別のポリシーが適用されない限り、Oktaでマスタリングされるすべてのユーザーがデフォルト・ポリシーに従います。デフォルト・ポリシーは無効化または削除できず、ポリシー・リスト内でのランクは常に最も低くなります。

旧ポリシー

以前のバージョンのプラットフォームでは、パスワード・ポリシー設定は[セキュリティー] > [一般]ページにありました。グループ・パスワード・ポリシーが有効になる前に作成された組織の場合、旧ポリシーと関連する旧ルールが保持されます。組織の既存のパスワード・ポリシー設定が旧ポリシーにコピーされます。すべての旧ポリシーとルール設定は構成可能です。

Active Directoryポリシー現在1つ以上のActive Directory(AD)統合がある場合、ADポリシーが自動的に作成されます。このポリシーの要素とそのルールをカスタマイズできます。
LDAPポリシー現在1つ以上のLDAP統合がある場合、LDAPポリシーが自動的に作成されます。このポリシーの要素とそのルールをカスタマイズできます。

パスワードの複雑さの要件

複雑なパスワードを使用すると、ユーザーのアカウントのセキュリティーが向上します。パスワードの複雑さの要件を構成する際は、以下の情報を考慮してください。

  • ADでマスタリングされるユーザーの場合、これらの要件はADによって設定および適用されます。Oktaの設定によって適用がトリガーされることはありません。そのため、これらの設定がADの最小設定と同じであることを確認してください。

  • LDAPでマスタリングされるユーザーの場合、これらの要件はLDAPによって設定および適用されます。Oktaの設定によって適用がトリガーされることはありません。そのため、これらの設定がLDAPの最小設定と同じであることを確認してください。
  • ADおよびLDAPでマスタリングされないユーザーの場合:

    [ユーザー名の一部を含まない]: ユーザー名は、指定されたメール・アドレス内の@記号の前にある文字列によって定義されます。たとえば、johnsmith@okta.comの場合、ユーザー名はjohnsmithになります。このオプションをオンにすると、ユーザー名の一部または全体を含むパスワードが拒否されます。

  • ADおよびLDAPでマスタリングされないユーザーの場合、[名を含まない]または[姓を含まない]のオプションを選択すると、ユーザーの名または姓の全体が除外されます。このオプションをオンにすると、パスワードに名または姓の全体を含めることができなくなります。このオプションは3文字以上の名前にのみ適用され、大文字と小文字は区別されません。


関連項目

パスワード・ポリシーを構成する

多要素認証登録ポリシーについて

Oktaサインオン・ポリシーについて

アプリ・サインオン・ポリシーについて

Oktaサインオン・ポリシーを構成する

多要素認証登録ポリシーを構成する

アプリ・サインオン・ポリシーを構成する