パスワード・ポリシーについて
管理者はパスワード・ポリシーを使用して、パスワード・ポリシーと、グループおよび認証プロバイダー・レベルでパスワード設定を強制する関連ルールを定義できます。Oktaでは、強力なパスワードの使用を適用して、組織の資産をより適切に保護するための、デフォルト・ポリシーが提供されています。管理者は、制限の少ないまたは多い追加のポリシーを作成し、グループ・メンバーシップに基づいてそれらをユーザーに適用することもできます。
グループ・パスワード・ポリシーがすべての組織で有効になりました。
- [認証]ページの[パスワード]タブには、すべてのグループ・パスワード・ポリシーが表示されます。最初はデフォルト・ポリシーとデフォルト・ルールのみが表示されます。
-
グループ・パスワード・ポリシーが以前に有効にされていなかった場合 、[パスワード]タブに旧ポリシーと新しいデフォルト・ポリシーが表示されるようになりました。旧ポリシーには、グループ・パスワード・ポリシーが有効にされたときに存在した組織設定が反映され、旧ルールと追加のデフォルト・ルールが含まれています。
- グループ・パスワード・ポリシーが有効な場合、[ユーザー]ページのユーザーの[パスワードの有効期限切れ]カウントは表示されません。「すべてのユーザー・パスワードを期限切れにする」を参照してください。
デフォルトのポリシーは編集できません。
グループ・パスワード・ポリシーを使用する
グループ・パスワード・ポリシーでは、次のことが可能です。
- パスワード・ポリシーと、グループおよび認証プロバイダー・レベルでパスワード設定を強制する関連ルールを定義する。
- 制限の多いルールや制限の少ないルールを使用して複数のポリシーを作成し、異なるグループに適用する。
- 強力なパスワードの使用を適用して、組織の資産をより適切に保護するためのポリシーを使用する。
ユーザーのOktaパスワードがパスワード・ポリシーの要件を満たし、パスワード・ポリシー自体は満たさない場合、プロビジョニング中にエラーが発生する可能性があります。Oktaパスワード・ポリシーがアプリケーションの要件(通常は8文字で、大文字と小文字を使用し、記号または数字を使用する)を満たしていることを確認します。
Active Directory(AD)およびLDAPでマスタリングされるユーザー
グループ・パスワード・ポリシーは、OktaとActive Directory(AD)およびLDAPでマスタリングされるユーザーにのみ適用されます。
- ADおよびLDAPでマスタリングされるユーザーの場合、ADおよびLDAPのパスワード・ポリシーが、Oktaのポリシーと競合しないことを確認します。 ADおよびLDAPでマスタリングされるユーザーのパスワードは、引き続きディレクトリ・サービスによって管理されます。 たとえば、Microsoft Office 365やGoogle G Suiteなどの一部のアプリケーションでは、ユーザーのプロビジョニング時にOktaパスワード・ポリシーがチェックされ、Oktaポリシーがアプリケーションのパスワード要件を満たしていることが確認されます。
-
LDAPグループ・パスワード・ポリシー機能を無効にすると、以前のグループ・パスワード・ポリシーのオプションは保持されません。
-
LDAPグループ・パスワード・ポリシー機能が有効になっている場合、カスタム・パスワード・ポリシー・メッセージは使用できず、以前のパスワード・ポリシー・メッセージは適用されません。
-
LDAP委任認証が無効になっている場合、LDAPグループ・パスワード・ポリシーはLDAPでマスタリングされるユーザーには適用されなくなります。
ユーザーの作成時にはデフォルトのパスワード・ポリシーが適用されます。ユーザーの作成時にはパスワード・ポリシーのグループ割り当ては評価されません。
パスワード・ポリシーの評価
パスワード・ポリシーは、以下の基準を使用して評価されます。
- パスワードの設定時に、複雑さの要件が評価されます。
- 現在のポリシーおよびユーザーが最後にいつ自分のパスワードを設定したか。ただし、ユーザーのパスワードがすでに期限切れである場合を除きます。この場合は期限切れのままです。
- ADおよびLDAPでマスタリングされるユーザーの場合、ADおよびLDAPの複雑さの要件が、ADおよびLDAPのインスタンスと一致する必要があります。
すべてのADおよびLDAPのパスワード・ポリシーが、ポリシーと競合しないことを確認します。
パスワード・ポリシーのタイプ
パスワード・ポリシーには4つのタイプがあります。
| デフォルト・ポリシー | 別のポリシーが適用されない限り、Oktaでマスタリングされるすべてのユーザーがデフォルト・ポリシーに従います。デフォルト・ポリシーは無効化または削除できず、ポリシー・リスト内でのランクは常に最も低くなります。 |
| 旧ポリシー | 以前のバージョンのプラットフォームでは、パスワード・ポリシー設定は[セキュリティー] > [一般]ページにありました。グループ・パスワード・ポリシーが有効になる前に作成された組織の場合、旧ポリシーと関連する旧ルールが保持されます。組織の既存のパスワード・ポリシー設定が旧ポリシーにコピーされます。すべての旧ポリシーとルール設定は構成可能です。 |
| Active Directoryポリシー | 現在1つ以上のActive Directory(AD)統合がある場合、ADポリシーが自動的に作成されます。このポリシーの要素とそのルールをカスタマイズできます。 |
| LDAPポリシー | 現在1つ以上のLDAP統合がある場合、LDAPポリシーが自動的に作成されます。このポリシーの要素とそのルールをカスタマイズできます。 |
パスワードの複雑さの要件
複雑なパスワードを使用すると、ユーザーのアカウントのセキュリティーが向上します。パスワードの複雑さの要件を構成する際は、以下の情報を考慮してください。
-
ADでマスタリングされるユーザーの場合、これらの要件はADによって設定および適用されます。Oktaの設定によって適用がトリガーされることはありません。そのため、これらの設定がADの最小設定と同じであることを確認してください。
- LDAPでマスタリングされるユーザーの場合、これらの要件はLDAPによって設定および適用されます。Oktaの設定によって適用がトリガーされることはありません。そのため、これらの設定がLDAPの最小設定と同じであることを確認してください。
-
ADおよびLDAPでマスタリングされないユーザーの場合:
[ユーザー名の一部を含まない]: ユーザー名は、指定されたメール・アドレス内の@記号の前にある文字列によって定義されます。たとえば、johnsmith@okta.comの場合、ユーザー名はjohnsmithになります。このオプションをオンにすると、ユーザー名の一部または全体を含むパスワードが拒否されます。
-
ADおよびLDAPでマスタリングされないユーザーの場合、[名を含まない]または[姓を含まない]のオプションを選択すると、ユーザーの名または姓の全体が除外されます。このオプションをオンにすると、パスワードに名または姓の全体を含めることができなくなります。このオプションは3文字以上の名前にのみ適用され、大文字と小文字は区別されません。