パスワードポリシー

管理者はパスワードポリシーを使用して、グループおよび認証プロバイダーレベルでパスワード設定を強制的に適用できます。Oktaでは、強力なパスワードの使用を適用して、組織の資産をより適切に保護するためのデフォルトポリシーが提供されています。制限がより強い/弱いポリシーを作成し、グループメンバーシップに基づいてそれをユーザーに適用することもできます。

グループパスワードポリシーがすべてのorgで有効になりました。

  • 認証([Authentication)](Password)ページのパスワード([Password)](Authentication)タブには、すべてのグループパスワードポリシーが表示されます。最初はデフォルトポリシーとデフォルトルールのみが表示されます。

  • グループパスワードポリシーがこれまで有効でなかった(Password)場合 、[Password(パスワード)]タブにレガシーポリシーと新しいデフォルトポリシーが表示されます。レガシーポリシーには、グループパスワードポリシーの有効化時に存在したorg設定が反映され、レガシールールと追加のデフォルトルールが含まれています。

  • グループパスワードポリシー(Password Expired count for users)が有効な場合、ユーザー(People)ページのユーザーのパスワードの有効期限切れカウント(Password Expired count for users)(Group Password Policy)は表示されません。「すべてのユーザーパスワードを期限切れにする」を参照してください。

グループパスワードポリシーを使用する

グループパスワードポリシーでは、次のことが可能です。

  • パスワードポリシーと、グループおよび認証プロバイダーレベルでパスワード設定を強制する関連ルールを定義する。
  • 制限の多いルールや制限の少ないルールを使用して複数のポリシーを作成し、異なるグループに適用する。
  • 強力なパスワードの使用を強制的に適用して、組織の資産をより適切に保護するためのポリシーを使用する。

ユーザーのOkta用のパスワードがパスワードポリシーの要件を満たすが、パスワードポリシー自体が要件を満たしていない場合、プロビジョニング時にエラーが発生する可能性があります。Oktaのパスワードポリシーがアプリの要件(通常は8文字以上の大文字/小文字と記号または数値)を満たしていることを確認してください。

Active DirectoryおよびLDAPをソースとするユーザー

グループパスワードポリシーは、OktaとActive Directory(AD)およびLDAPをソースとするユーザーにのみ強制適用されます。

  • ADおよびLDAPをソースとするユーザーの場合、ADおよびLDAPのパスワードポリシーがOktaのポリシーと競合しないことを確認してください。ADおよびLDAPをソースとするユーザーのパスワードはディレクトリサービスによって管理されます。一部のアプリは、ユーザーのプロビジョニング時にOktaパスワードポリシーを確認します。たとえば、Microsoft Office 365やGoogle G Suiteは、Oktaパスワードポリシーがアプリのパスワード要件を満たしていることを確認します。
  • LDAPグループパスワードポリシー機能を無効にしたときに、以前のグループパスワードポリシーオプションは保持されません。
  • LDAPグループパスワードポリシーが有効になっている場合、カスタマイズされたパスワードポリシーメッセージは使用できず、以前のパスワードポリシーメッセージは適用されません。
  • LDAP委任認証が無効になっている場合、LDAPグループパスワードポリシーはLDAPをソースとするユーザーには適用されなくなります。

パスワードポリシーのランク付けおよび評価

Oktaでは、強力なパスワードの使用を適用して、組織の資産をより適切に保護するデフォルトポリシーが提供されています。デフォルトポリシーより制限の緩い(または厳しい)別のポリシーを作成し、それをグループメンバーシップに基づいてユーザーに適用することもできます。

パスワードポリシーを追加すると、ポリシーリストの最上部(デフォルトポリシーの上)に表示されます。デフォルトポリシーを除きすべてのポリシーを並べ替えることができます。ポリシーをクリックしてリスト内の新しい場所にドラッグします。制限の厳しいポリシーを制限の緩いポリシーより上に配置します。Oktaは、リストに表示されている順序で、リストの最上部からポリシーを評価します。ユーザーのサインイン試行がポリシーと一致すると、ポリシーの評価は停止します。

ユーザーがパスワードを設定または変更すると、Oktaはパスワードポリシーの要件と照合してパスワードを評価します。パスワードがユーザーに適用されるポリシーの複雑さの要件を満たさない場合、Oktaはそのパスワードを拒否します。

ADおよびLDAPをソースとするユーザーの場合、ADおよびLDAPの複雑さの要件が、ADおよびLDAPのインスタンスと一致する必要があります。すべてのADおよびLDAPのパスワードポリシーが、Oktaパスワードポリシーと競合しないことを確認します。

「パスワードポリシーを構成する」を参照してください。パスワードポリシーを構成する

パスワードポリシーのタイプ

パスワードポリシーには4つのタイプがあります。

デフォルトポリシー

別のポリシーが適用されない限り、Oktaをソースとするすべてのユーザーがデフォルトポリシーに従います。デフォルトポリシーは無効化または削除できず、ポリシーリスト内でのランクは常に最も低くなります。

レガシーポリシー

以前のバージョンのプラットフォームでは、パスワードポリシー設定はセキュリティ(Security) > 一般(General)ページにありました。グループパスワードポリシーが有効になる前に作成されたorgの場合、レガシーポリシーと関連するレガシールールが保持されます。orgの既存のパスワードポリシー設定が旧ポリシーにコピーされます。すべての旧ポリシーとルール設定は構成可能です。

Active Directoryポリシー

 現在AD統合がある場合、ADポリシーが自動的に作成されます。このポリシーの要素とそのルールをカスタマイズできます。

LDAPポリシー

 現在LDAP統合がある場合、LDAPポリシーが自動的に作成されます。このポリシーの要素とそのルールをカスタマイズできます。

パスワードの複雑さの要件

複雑なパスワードを使用すると、ユーザーのアカウントのセキュリティが向上します。パスワードの複雑さの要件を構成する際は、以下の情報を考慮してください。

  • ADをソースとするユーザー(AD-sourced users)の場合、ADがこれらの要件を設定して強制適用します。Oktaの設定が強制適用をトリガーすることはありません。そのため、これらの設定がADの最小設定と同じであることを確認してください。
  • LDAPをソースとするユーザー(LDAP-sourced users)の場合、LDAPがこれらの要件を設定して強制適用します。Oktaの設定が強制適用をトリガーすることはありません。そのため、これらの設定がLDAPの最小設定と同じであることを確認してください。

  • ADとLDAPをソースとしないユーザー(non-AD and LDAP-sourced users)の場合:

    ユーザー名の一部を含まない(Does not contain part of username):この要件は区切り文字(.,-_#@)に基づいて、ログインIDの一部が含まれるパスワードを拒否します。たとえば、ログインIDがjohn.smith@okta.comの場合にこのオプションを選択すると、johnsmith、またはoktaが含まれるパスワードは拒否されます。

  • ADとLDAPをソースとしないユーザー(non-AD and LDAP-sourced users)の場合:

    ユーザーの名または姓をパスワードから除外するには、名を含まない(Does not contain first name)または姓を含まない(Does not contain last name)を選択します。このオプションは大文字/小文字を区別せず、3文字以上の名前にのみ適用されます。

関連項目

パスワードポリシーを構成する

MFA登録ポリシー

Oktaのサインオンポリシー

アプリのサインオンポリシー

Oktaサインオンポリシーを構成する

MFA登録ポリシーを構成する

アプリサインオンポリシーを構成する