アプリサインオンポリシーを構成する

アプリサインオンポリシーを利用することで、アプリへのアクセスのルールを構成できます。これは、アプリへのサインインを試みるユーザーが特定の条件を満たしているかどうかを検証し、それらの条件に基づいて要素の要件を強制します。

アプリサインオンポリシーを作成した上で、そのルールを構成します。

アプリのサインオンポリシーを作成する

1. Admin Consoleで、アプリケーション（Applications） > アプリケーション（Applications）に移動します。

2. 目的のアプリをクリックします。
3. サインオン（Sign On）タブをクリックします。
4. サインオンポリシー（Sign On Policy）セクションまでスクロールします。

アプリサインオンポリシールールを構成する

1. ルールを追加（Add Rule）をクリックします。
2. ルール名（Rule Name）フィールドに名前を入力します。
3. ユーザー（People）セクションでユーザーとグループにこのアプリを割り当てる、またはユーザーとグループを選択してこのアプリから除外します。
   • このアプリが割り当てられたユーザー（Users assigned this app）：ユーザーとグループがユーザープロファイルまたはグループ定義からこのアプリに割り当てられるようにするには、このオプションを選択します。
   • 次のグループとユーザー（The following groups and users）：指定したグループまたはユーザーにアプリケーションを割り当てられるようにするには、このオプションを選択します。
     • グループ（Groups）：グループ名の最初の数文字を入力し、フィールドに表示されたら選択します。追加の各グループについても同様に繰り返します。
     • ユーザー（Users）：ユーザー名の最初の数文字を入力し、フィールドに表示されたら選択します。追加の各ユーザー名についても同様に繰り返します。
     • 次のユーザーとグループをこのルールから除外（Exclude the following users and groups from this rule）：アプリから除外するグループとユーザーを指定するには、このオプションを選択します。

       除外されたグループ（Excluded Groups）

       グループ名の最初の数文字を入力し、フィールドに表示されたら選択します。追加の各グループについても同様に繰り返します。

       除外されたユーザー（Excluded Users）

       ユーザー名の最初の数文字を入力し、フィールドに表示されたら選択します。追加の各ユーザー名についても同様に繰り返します。

4. ルールの場所を構成します。ゾーンを指定する場合には、IPアドレスが動的であり、IPの地理位置情報が保証されないことに注意してください。場所のみに依存してアクセスを拒否するポリシーは作成しないでください。
   • 任意の場所（Anywhere）：アプリへのアクセスを試行する際に、ユーザーが任意の場所から接続できるようにします。
   • ゾーン内（In Zone）：アプリへのアクセスを試行する際に、ユーザーが指定のネットワークゾーンのみから接続できるようにします。
   • ゾーン外（Not in Zone）：指定のネットワークゾーンからアプリにアクセスするユーザーをブロックします。
5. 接続の許可/拒否の対象となるネットワークゾーンを指定します。
   • すべてのゾーン（All Zones）：すべてのネットワークゾーンからの接続を許可/拒否するには、このオプションを選択します。
   • 追加するゾーンを入力（Type zone to add）：このフィールドは、すべてのゾーン（All Zones）を空白のままにした場合に表示されます。このフィールドの内側をクリックします。ネットワークゾーン名の最初の数文字を入力し、フィールドに表示されたら選択します。追加の各ネットワークゾーン名についても同様に繰り返します。ネットワークゾーンと動的ゾーンを参照してください。
6. Microsoft 365/Office 365アプリのみ：クライアントのアクセスポリシールールに従って評価するプラットフォームをクライアント（Client）セクションで選択します。アクション（Actions）セクションで構成するアクションをトリガーできます（WebブラウザーまたはModern Authクライアント）。
7. このポリシーの条件が満たされた場合に強制するアクションをアクセス（Access）セクションで構成します。
   • 許可（Allowed）：ユーザーがアプリにアクセスできるようにします。多要素認証応答を構成します。
     • 再認証を求める（Prompt for reauthentication）：SAMLアプリのみ。ユーザーに再認証を求める頻度を指定します。指定する期間は、ユーザーが最後にOktaに認証された時点から始まります。このオプションを選択すると、ユーザーはn分後にパスワードの再入力を求められる（User is prompted to re-enter their password after n minutes）オプションが表示されます。間隔の分数をフィールドに入力します。
       注:

       ユーザーがパスワードで認証した後で10秒間の猶予期間が適用されます。この猶予期間中は、サインオンのたび（Every sign-on）が選択されている場合でも、Oktaはユーザーにパスワードの再入力を求めません。

       この機能は、SAMLで構成されたすべてのアプリで利用できます。

       SWAアプリでは再認証がサポートされないため、再認証が選択されている場合、サインオン方式をSAMLからSWAに変更することはできません。

     • 要素を求める（Prompt for factor） ：ユーザーにMFA要素の選択を求め、Oktaがユーザーにそれを求める頻度を指定します。MFA要素の構成を参照してください。
   • 拒否（Denied）：ユーザーがアプリにアクセスできないようにします。
8. 保存（Save）をクリックします。

ルールに優先順位を付ける

ルールの優先度を設定するには、青色の矢印をクリックして優先度番号を設定します。優先度の値が1のルールは、優先度が一番高くなり、ほかのすべてのルールより優先されます。

ルールを管理する

1. ルールを編集するには、鉛筆アイコンをクリックし、ルールを編集（[Edit rule）]オプションを選択します。
2. ルールを無効にするには、鉛筆アイコンをクリックしてルールを無効化（Disable rule）（disable rule）オプションを選択します。
3. ルールを削除するには、Xアイコンをクリックします。

ユーザーエクスペリエンス

アプリレベルの多要素認証を構成した後で、Oktaはユーザーに、まだ登録していない要素の登録を求めます。アプリのアクセスに必要なすべての要素が登録されている場合、Oktaはユーザーに認証するよう求めます。

ユーザーがアプリへの認証をブロックされると、次のメッセージが表示されます。

• 管理者がポリシーを設定しているため、現在このアプリケーションへのアクセスは許可されていません。
• 原因が不明な場合は、管理者にお問い合わせください。
• 必要であれば、Oktaホームページに移動することもできます。

関連項目

MFA登録ポリシー

パスワードポリシー

Okta Sign-on Policyを構成する