パスワードポリシー

管理者はパスワードポリシーを使用して、グループおよび認証プロバイダーレベルでパスワード設定を強制的に適用できます。Oktaでは、強力なパスワードの使用を適用して、組織の資産をより適切に保護するためのデフォルトポリシーが提供されています。制限がより強い/弱いポリシーを作成し、グループメンバーシップに基づいてそれをユーザーに適用することもできます。

グループパスワードポリシーがすべてのorgで有効になりました。

  • [Authentication(認証)]ページの[Password(パスワード)]タブには、すべてのグループパスワードポリシーが表示されます。最初はデフォルトポリシーとデフォルトルールのみが表示されます。

  • グループパスワードポリシーがこれまで有効でなかった場合 、[Password(パスワード)]タブにレガシーポリシーと新しいデフォルトポリシーが表示されます。レガシーポリシーには、グループパスワードポリシーの有効化時に存在したorg設定が反映され、レガシールールと追加のデフォルトルールが含まれています。

    デフォルトルールは編集できません。

  • グループパスワードポリシーが有効な場合、[People(ユーザー)]ページの[Password Expired count for users(ユーザーのパスワードの有効期限切れカウント)]は表示されません。「すべてのユーザーパスワードを期限切れにする」を参照してください。

グループパスワードポリシーを使用する

グループパスワードポリシーでは、次のことが可能です。

  • パスワードポリシーと、グループおよび認証プロバイダーレベルでパスワード設定を強制する関連ルールを定義する。
  • 制限の多いルールや制限の少ないルールを使用して複数のポリシーを作成し、異なるグループに適用する。
  • 強力なパスワードの使用を強制的に適用して組織の資産をより適切に保護するためのポリシーを使用する。

ユーザーのOktaパスワードがパスワードポリシーの要件を満たすが、パスワードポリシー自体が要件を満たしていない場合、プロビジョニング時にエラーが発生する可能性があります。Oktaパスワードポリシーが、アプリの要件(通常は8文字以上の大文字/小文字と記号または数値)を満たしていることを確認します。

Active DirectoryおよびLDAPをソースとするユーザー

グループパスワードポリシーは、OktaとActive Directory(AD)およびLDAPをソースとするユーザーにのみ適用されます。

  • ADおよびLDAPをソースとするユーザーの場合、ADおよびLDAPのパスワードポリシーが、Oktaのポリシーと競合しないことを確認します。ADおよびLDAPをソースとするユーザーのパスワードは、ディレクトリサービスによって管理されます。一部のアプリは、ユーザーのプロビジョニング時にOktaパスワードポリシーを確認します。たとえば、Microsoft Office 365やGoogle G Suiteは、Oktaパスワードポリシーがアプリのパスワード要件を満たしていることを確認します。
  • LDAPグループパスワードポリシー機能を無効にしたときに、以前のグループパスワードポリシーオプションは保持されません。
  • LDAPグループパスワードポリシーが有効になっている場合、カスタマイズされたパスワードポリシーメッセージは使用できず、以前のパスワードポリシーメッセージは適用されません。
  • LDAP委任認証が無効になっている場合、LDAPグループパスワードポリシーはLDAPをソースとするユーザーには適用されなくなります。

デフォルトのパスワードポリシーは、ユーザーの作成時に適用されます。ユーザーの作成時にパスワードポリシーのグループ割り当ては評価されません。

パスワードポリシーのランク付けおよび評価

Oktaでは、強力なパスワードの使用を適用して、組織の資産をより適切に保護するデフォルトポリシーが提供されています。デフォルトポリシーより制限の緩い(または厳しい)別のポリシーを作成し、それをグループメンバーシップに基づいてユーザーに適用することもできます。

パスワードポリシーを追加すると、ポリシーリストの最上部(デフォルトポリシーの上)に表示されます。デフォルトポリシーを除きすべてのポリシーを並べ替えることができます。ポリシーをクリックしてリスト内の新しい場所にドラッグします。制限の厳しいポリシーを制限の緩いポリシーより上に配置します。Oktaは、リストに表示されている順序で、リストの最上部からポリシーを評価します。ユーザーのサインイン試行がポリシーと一致すると、ポリシーの評価は停止します。

ユーザーがパスワードを設定または変更すると、Oktaはパスワードポリシーの要件と照合してパスワードを評価します。パスワードがユーザーに適用されるポリシーの複雑さの要件を満たさない場合、Oktaはそのパスワードを拒否します。

ADおよびLDAPをソースとするユーザーの場合、ADおよびLDAPの複雑さの要件が、ADおよびLDAPのインスタンスと一致する必要があります。すべてのADおよびLDAPのパスワードポリシーが、Oktaパスワードポリシーと競合しないことを確認します。

「パスワードポリシーを構成する」を参照してください。

パスワードポリシーのタイプ

パスワードポリシーには4つのタイプがあります。

デフォルトポリシー

別のポリシーが適用されない限り、Oktaをソースとするすべてのユーザーがデフォルトポリシーに従います。デフォルトポリシーは無効化または削除できず、ポリシーリスト内でのランクは常に最も低くなります。

レガシーポリシー

以前のバージョンのプラットフォームでは、パスワードポリシー設定は[Security(セキュリティ)][General(一般)]ページにありました。グループパスワードポリシーが有効になる前に作成されたorgの場合、レガシーポリシーと関連するレガシールールが保持されます。orgの既存のパスワードポリシー設定が旧ポリシーにコピーされます。すべての旧ポリシーとルール設定は構成可能です。

Active Directoryポリシー

 現在AD統合がある場合、ADポリシーが自動的に作成されます。このポリシーの要素とそのルールをカスタマイズできます。

LDAPポリシー

 現在LDAP統合がある場合、LDAPポリシーが自動的に作成されます。このポリシーの要素とそのルールをカスタマイズできます。

パスワードの複雑さの要件

複雑なパスワードを使用すると、ユーザーのアカウントのセキュリティが向上します。パスワードの複雑さの要件を構成する際は、以下の情報を考慮してください。

  • ADをソースとするユーザーの場合、ADがこれらの要件を設定して強制適用します。Oktaの設定が強制適用をトリガーすることはありません。そのため、これらの設定がADの最小設定と同じであることを確認してください。
  • LDAPをソースとするユーザーの場合、LDAPがこれらの要件を設定して強制適用します。Oktaの設定が強制適用をトリガーすることはありません。そのため、これらの設定がLDAPの最小設定と同じであることを確認してください。

  • ADとLDAPをソースとしないユーザーの場合:

    [Does not contain part of username(ユーザー名の一部を含まない)]:この要件は、区切り文字(.,-_#@)に基づいて、ログインIDの一部が含まれるパスワードを拒否します。たとえば、このオプションを選択すると、ログインIDがjohn.smith@okta.comの場合、johnsmithoktaが含まれるパスワードは拒否されます。

  • ADとLDAPをソースとしないユーザーの場合:

    ユーザーの名または姓をパスワードから除外するには、[Does not contain first name(名を含まない)]または[Does not contain last name(姓を含まない)]を選択します。このオプションは大文字/小文字を区別せず、3文字以上の名前にのみ適用されます。

関連項目

パスワードポリシーを構成する

MFA登録ポリシー

Oktaのサインオンポリシー

アプリのサインオンポリシー

Oktaサインオンポリシーを構成する

MFA登録ポリシーを構成する

アプリサインオンポリシーを構成する