Oktaサインオン・ポリシーについて

Oktaサインオン・ポリシーでは、アクセスの許可、チャレンジの要求、別のチャレンジが要求されるまでの時間の設定などの、実行されるアクションを指定できます。ポリシーの実行順序を指定することや、任意の数のポリシーを追加することができます。サインインしようとしているユーザーにリストのポリシーが適用されない場合、システムは次のポリシーに移行します。

任意の数のポリシーを指定でき、その実行順序も指定できます。[デフォルト]という名前の必須ポリシーが1つあります。定義上、デフォルトのポリシーはすべてのユーザーに適用されます。

削除できないデフォルトのポリシーに加えて、すでに多要素認証を構成している場合にのみ存在する[旧]という名前の別のポリシーがあります。このポリシーには、サインオン・ポリシーを有効にしたときに設定されていた多要素認証設定が反映されるため、ポリシーを変更しない限り多要素認証の動作は変更されません。必要に応じて削除できます。

ポリシーが評価されるときは、ポリシーの条件が関連ルールの条件と組み合わされます。これらすべての条件が満たされた場合にルールが適用されます。

:ルールのないポリシーは適用できません。

ポリシーには複数のルールを含めることができ、ルールの順序によってその動作が決まります。

RADIUSアプリケーションのサインオン・ポリシーを構成する

[セキュリティー] > [認証] > [サインオン]の下で管理コンソールからOktaサインオン・ポリシーを作成しても、RADIUSアプリケーションには適用されません。代わりに、RADIUSアプリケーションのサインオン・ポリシーは、常にRADIUSアプリケーションのセットアップの一部として構成する必要があります。詳細については、「アプリケーションのサインオン・ポリシーを追加する」を参照してください。


Oktaのポリシー評価

Oktaでは、ポリシーの条件とルールの条件が統合されて、特定のユーザーにポリシーが適用されるかどうかが判断されます。通常、ポリシーは多くのユーザーに適用できる大きな要素で構成されます(パスワードの最小の長さなど)。ルールは、場所や状況などの条件で構成されます(地理的な場所や、ユーザーが会社のネットワークに接続しているかどうかなど)。ルールが含まれていないポリシーは適用できません。

たとえば、グループ「Admins」に割り当てるポリシーを作成する場合は、管理者のニーズに合わせた特有の条件を作成します。パスワード・ハッキングを制限するために、このポリシーに12のパスワードの最小長さを含めることができます。ポリシーに適用されるルールは、特定の条件下でのみセルフ・サービスのロック解除を許可するルールなどがあります。特定の管理者が会社のネットワークに接続しているかどうかも、条件の1つにすることができます。

ヒント:

  • ルールが含まれていないポリシーは正常に適用できません。そのポリシーにルールが存在しないことを示す警告が表示されます。
  • 制限の多いルールを[優先度]リストの上に配置します。
  • 「全員」が一番上にある場合、特別な条件は適用されず、ポリシー評価は不要です。複数のルールが存在し、最初のルールの条件が満たされない場合、Oktaによってそのルールがスキップされ、次のルールが評価されます。

多要素認証の要素とサインオン・ポリシー

[多要素]ページから少なくとも1つの要素を選択しない限り、[要素を求める]チェック・ボックスはアクティブになりません。

ページにアクセスして1つ以上の要素を選択するには、[セキュリティー] > [多要素]に移動します。

:特定の要素がポリシーで指定されている場合、その要素を必要とするすべてのポリシーからその要素が削除されるまで、その要素は削除できません。

組織で多要素認証が有効になっている場合、少なくとも1つの要素を指定する必要があります。要素が指定されていない場合、[多要素]ページでエラー・メッセージが表示されます。


関連項目

Oktaサインオン・ポリシーを構成する

多要素認証登録ポリシーについて

パスワード・ポリシーについて

アプリ・サインオン・ポリシーについて

多要素認証登録ポリシーを構成する

アプリ・サインオン・ポリシーを構成する

パスワード・ポリシーを構成する