アプリサインオンポリシーを構成する
アプリ・サインオン・ポリシーでは、アプリケーションへのアクセスを許可または制限します。アプリサインオンポリシーを設定するには、以下の操作を行います。
- 管理コンソールで、[Applications(アプリケーション)] > [Applications(アプリケーション)]に移動します。
- 目的のアプリをクリックします。
- [サインオン]タブをクリックします。
- [サインオン・ポリシー]セクションまで下にスクロールします。
- ルールを作成します。
- [ルールを追加]をクリックします。
- [Rule Name(ルール名)]フィールドに名前を入力します。
- [ユーザー]セクションのオプションを選択して、ルールを適用するユーザーを決定します。
- [Users assigned this app(このアプリが割り当てられているユーザー)] – この特定のアプリが割り当てられているユーザーを指定します。
- [The following groups and users(下記のグループとユーザー)] – アプリが割り当てられているグループまたは特定のユーザーにルールを割り当てます。
- ポリシールールから特定グループやユーザーを除外するには、[Exclude the following users and groups from this rule(以下のユーザーやグループをこのルールから除外する)]を選択してからグループやユーザーを指定します。
- 条件を構成します。
- (Microsoft Office 365アプリのみ)[If the user's client is any of these(ユーザーのクライアントが以下のいずれかの場合)]で、 [Actions(アクション)]セクションで設定したアクションをトリガーするクライアントタイプを選択します(ウェブブラウザまたはModern Authクライアント)。詳細については、「Office 365クライアントアクセスポリシー」の[Client(クライアント)]セクションを参照してください。
- [And the user's platform is any of these(ユーザーのプラットホームが以下のいずれか)]で、[Access(アクセス)]セクションで設定したアクションをトリガーしたいモバイルまたはデスクトッププラットホームを選択します。
- [条件]セクションで指定した条件に基づいて、適用する[アクション]を構成します。
- [When all the conditions above are met, sign on to this application is(上記の条件がすべて満たされたら、このアプリケーションにサインオンする)] の設定で[Allowed(許可)] または[Denied(拒否)]を選択します。
- (SAMLアプリのみ)[Prompt for re-authentication(再認証を求める)] を選択して、ユーザーに再認証を求める頻度を指定します。指定する期間は、ユーザーが前回Oktaに認証を受けた時点から開始します。
注:
- ユーザーがパスワードで認証した後、10秒間の猶予期間が適用されます。[Re-authentication frequency(再認証の頻度)]で[Every sign-in attempt(サインイン試行の都度)]が選択されている場合は、この猶予期間中に再度パスワードの入力を求められることはありません。
- この機能は、SAMLで構成されたすべてのアプリで使用できます。
- SWAアプリでは再認証がサポートされていないため、再認証が選択されている場合、サインオン方法をSAMLからSWAに変更することはできません。
- ユーザーにMFAオプションの選択を求める場合は、[Prompt for factor(要素を求める) ]を選択してから、ユーザーに求める頻度を指定します。[多要素設定]リンクをクリックすると[多要素認証]ページに移動し、このページから要素を選択できます。
- [Save(保存)]をクリックします。
[ロケーション]:ポリシーを適用する場所を指定します。使用可能なオプションは、[すべての場所]、[ゾーン内]、または[ゾーン外]です。
[In Zone(ゾーン内)]を選択した場合には、ゾーンの名前を入力します。ゾーン名は [Security (セキュリティ)] > [Network(ネットワーク)]で設定します。「ネットワークゾーン」および「ダイナミックゾーンについて」を参照してください。
Client(クライアント) — [Access(アクセス)]セクションで構成したアクションをトリガーする条件を選択します。
Device Trust(デバイスの信頼) — [Access(アクセス)]セクションで設定したアクションをトリガーしたいデバイスの信頼ステータスを指定します。[Trusted(信頼されている)]と[Not Trusted(信頼されていない)]オプションは、[Device Trust(デバイスの信頼)]が [Security(セキュリティ)] > [Device Trust(デバイスの信頼)]で設定されている場合にのみ選択できます。Okta Device Trustでは、信頼シグナル(MDM登録、証明書、ユニバーサルリンクのサポート)の存在に基づいて、デバイスが信頼できるか決定されます。
[アクセス]:
ルールに優先順位を付ける
ルールの優先度を設定するには、青色の矢印をクリックして優先度番号を設定します。優先度の値が1のルールは、優先度が一番高くなり、ほかのすべてのルールより優先されます。
ルールを管理する
- ルールを編集するには、鉛筆アイコンをクリックし、[ルールを編集]オプションを選択します。
- ルールを無効にするには、鉛筆アイコンをクリックして[Disable rule(ルールを無効化)]オプションを選択します。
- ルールを削除するには、Xアイコンをクリックします。
スクリーンショット
ユーザーエクスペリエンス
ユーザーがアプリからブロックされると、次のメッセージが表示されます。
管理者がポリシーを設定しているため、現在このアプリケーションへのアクセスは許可されていません。
原因が不明な場合は、管理者にお問い合わせください。
必要であれば、Oktaホームページに移動することもできます。