アプリサインオンポリシーを構成する
アプリサインオンポリシーを利用することで、アプリケーションへのアクセスのルールを構成できます。これは、アプリへのサインインを試みるユーザーが特定の条件を満たしているかどうかを検証し、それらの条件に基づいて要素の要件を強制します。
アプリサインオンポリシーを作成した上で、そのルールを構成します。
アプリのサインオンポリシーを作成する
-
Admin Consoleでに移動します。
- 目的のアプリをクリックします。
- [サインオン]タブをクリックします。
- [サインオンポリシー]セクションまでスクロールします。
アプリサインオンポリシールールを構成する
- [Add Rule(ルールを追加)]をクリックします。
- [Rule Name(ルール名)]フィールドに名前を入力します。
- [ユーザー]セクションでユーザーとグループにこのアプリを割り当てる、またはユーザーとグループを選択してこのアプリから除外します。
- [Users assigned this app(このアプリが割り当てられたユーザー)]:ユーザーとグループがユーザープロファイルまたはグループ定義からこのアプリに割り当てられるようにするには、このオプションを選択します。
- [The following groups and users(次のグループとユーザー)]:指定したグループまたはユーザーにアプリケーションを割り当てられるようにするには、このオプションを選択します。
- [Groups(グループ)]:グループ名の最初の数文字を入力し、フィールドに表示されたら選択します。追加の各グループについても同様に繰り返します。
- [Users(ユーザー)]:ユーザー名の最初の数文字を入力し、フィールドに表示されたら選択します。追加の各ユーザー名についても同様に繰り返します。
- [Exclude the following users and groups from this rule(次のユーザーとグループをこのルールから除外)]:アプリから除外するグループとユーザーを指定するには、このオプションを選択します。
- [Excluded Groups(除外されたグループ)]
- グループ名の最初の数文字を入力し、フィールドに表示されたら選択します。追加の各グループについても同様に繰り返します。
- [Excluded Users(除外されたユーザー)]
- ユーザー名の最初の数文字を入力し、フィールドに表示されたら選択します。追加の各ユーザー名についても同様に繰り返します。
- ルールの場所を構成します。ゾーンを指定する場合には、IPが動的であり、IPの地理位置情報が保証されないことに注意してください。場所のみに依存してアクセスを拒否するポリシーは作成しないでください。
- [Anywhere(任意の場所)]:アプリへのアクセスを試行する際に、ユーザーが任意の場所から接続できるようにします。
- [In Zone(ゾーン内)]:アプリへのアクセスを試行する際に、ユーザーが指定のネットワークゾーンのみから接続できるようにします。
- [Not in Zone(ゾーン外)]:指定のネットワークゾーンからアプリにアクセスするユーザーをブロックします。
- 接続の許可/拒否の対象となるネットワークゾーンを指定します。
- Microsoft 365/Office 365アプリのみ:クライアントアクセスポリシールールに従って評価するプラットフォームを[クライアント]セクションで選択します。[アクション]セクションで構成するアクションをトリガーできます(WebブラウザーまたはModern Authクライアント)。「Office 365クライアントアクセスポリシー」の「クライアント」セクションを参照してください。
- このポリシーの条件が満たされた場合に強制するアクションを[アクセス]セクションで構成します。
- [Allowed(許可)]:ユーザーがアプリにアクセスできるようにします。多要素認証応答を構成します。
- [Prompt for reauthentication(再認証を求める)]:SAMLアプリのみ。ユーザーに再認証を求める頻度を指定します。指定する期間は、ユーザーが最後にOktaに認証された時点から始まります。このオプションを選択すると、[User is prompted to re-enter their password after n minutes(ユーザーはn分後にパスワードの再入力を求められる)]オプションが表示されます。間隔の分数をフィールドに入力します。
ユーザーがパスワードで認証した後で10秒間の猶予期間が適用されます。この猶予期間中は、[Every sign-on(サインオンのたび)]が選択されている場合でもパスワードの再入力は求められません。
この機能は、SAMLで構成されたすべてのアプリで利用できます。
SWAアプリでは再認証がサポートされないため、再認証が選択されている場合、サインオン方式をSAMLからSWAに変更することはできません。
- [Prompt for factor(要素を求める) ]:ユーザーにMFA要素の選択を求め、ユーザーにそれを求める頻度を指定します。[Multifactor Settings(多要素設定)]リンクをクリックして[Multifactor Authentication(多要素認証)]ページに移動し、そこで要素を選択できます。
- [Prompt for reauthentication(再認証を求める)]:SAMLアプリのみ。ユーザーに再認証を求める頻度を指定します。指定する期間は、ユーザーが最後にOktaに認証された時点から始まります。このオプションを選択すると、[User is prompted to re-enter their password after n minutes(ユーザーはn分後にパスワードの再入力を求められる)]オプションが表示されます。間隔の分数をフィールドに入力します。
- [Denied(拒否)]:ユーザーがアプリにアクセスできないようにします。
- [Allowed(許可)]:ユーザーがアプリにアクセスできるようにします。多要素認証応答を構成します。
- [Save(保存)]をクリックします。
ルールに優先順位を付ける
ルールの優先度を設定するには、青色の矢印をクリックして優先度番号を設定します。優先度の値が1のルールは、優先度が一番高くなり、ほかのすべてのルールより優先されます。
ルールを管理する
- ルールを編集するには、鉛筆アイコンをクリックし、[Edit rule(ルールを編集)]オプションを選択します。
- ルールを無効にするには、鉛筆アイコンをクリックして[Disable rule(ルールを無効化)]オプションを選択します。
- ルールを削除するには、[X]アイコンをクリックします。
ユーザーエクスペリエンス
ユーザーがアプリからブロックされると、次のメッセージが表示されます。
- 管理者がポリシーを設定しているため、現在このアプリケーションへのアクセスは許可されていません。
- 原因が不明な場合は、管理者にお問い合わせください。
- 必要であれば、Oktaホームページに移動することもできます。