パスワード ポリシーの設定
パスワード ポリシーにより、管理者はグループおよび認証プロバイダレベルのパスワード設定を強制適用するパスワード ポリシーおよび関連ルールを定義できます。Oktaは、組織の資産をより良く保護するための強力なパスワードの使用を強制適用するデフォルト ポリシーを提供します。管理者はまた、グループ メンバーシップに基づいてユーザーに適用する、制限の程度の異なる追加ポリシーも作成します。
Lightweight Directory Access Protocol(LDAP)ソースのユーザーによるパスワード リセットリクエストは、LDAPサーバーでのパスワードポリシーの規定によりユーザーがパスワードを変更できない場合には失敗することがあります。パスワード リセットに失敗した場合、Okta LDAPエージェントログによりLDAPエラーコードが提供されます。ユーザーがパスワードを変更できるようにするパスワードポリシーを作成するには、ベンダー提供のLDAPサーバーマニュアルを参照してください。
管理者がLDAPソースユーザー向けに一時パスワードを作成した場合、LDAP サーバーのパスワード ポリシーでパスワードの変更が許可または要求されるなら、ユーザーは次回のサインイン時にパスワードを変更する必要があります。一時パスワードをサポートするパスワード ポリシーを作成するには、ベンダー発行のLDAPサーバー マニュアルを参照してください。
-
管理コンソールで、[Security(セキュリティ)] > [Authentication(認証)]に進みます。
- [Password(パスワード)]タブと[Add New Password Policy(新しいパスワード ポリシーを追加)]をクリックします。
- 以下のフィールドに入力します。
- Policy name(ポリシー名):ポリシーの一意名を入力します。
- Policy description(ポリシーの説明):ポリシーの説明を入力します。
- Add group(グループを追加):ポリシーを適用するグループの名前を入力します。
- [Authentication Providers(認証プロバイダー)]セクションで、ユーザーデータの主なソースを選択します。
- Okta : Oktaパスワード ポリシーを作成するときにこのオプションを選択します。
- Active Directory :Active Directory (AD)パスワード ポリシーを作成するときにこのオプションを選択します。
- LDAP :LDAP パスワード ポリシーを作成するときにこのオプションを選択します。
- [Password Settings(パスワードの設定)]セクションの以下のフィールドに入力します。
- Minimum length(最小の長さ) :パスワードの最小文字数として4~30を入力します(デフォルトは8文字)。 Active Directory (AD)およびLightweight Directory Access Protocol (LDAP)ソースユーザーの場合、これらの要件がADおよびLDAPで設定されて強制適用されます。ここでの設定がADおよびLDAPの最小設定の複製であることを確認してください。Oktaが保存する最大文字数は72文字です。
- Complexity requirements(複雑性の要件) :ユーザーパスワードに要求される複雑性のレベルを定義するためにいくつかまたはすべてのオプションを選択します。
- Common password check(一般的なパスワードのチェック) :一般的な弱いパスワードの使用を防止するために [Restrict use of common passwords(一般的なパスワードの使用を制限)] を選択します
- Password age(パスワードの有効期間):以下のオプションを選択します。
- Enforce password history for last(パスワード履歴の強制適用)古いパスワードを再使用できるようになる前にユーザーが作成する必要のある個別のパスワードの数を入力します。 これにより、指定した期間ほどユーザーが古いパスワードを再使用できなくなります。これは1~30パスワードに設定できます。
- Minimum password age is(パスワードの最小有効期間は) :パスワード変更の最小間隔を入力します。この設定により、ユーザーがパスワード履歴の強制適用要件を迂回できなくなります。この値は最大9,999分まで設定できます。
- Password expires after(パスワードの有効期限) :パスワードを変更しなければならなくなるまでの日数。ユーザーのパスワードの期限が切れると、その後Oktaにサインインするためにはパスワードを変更する必要があります。この値は最大999日まで設定できます。この値が6日未満の場合、ユーザーは期限切れの警告を受け取りません。
- Prompt user(何日前にユーザーに指示するか) :パスワードの期限が切れる何日前にユーザーにパスワードを変更を求めるかの日数を入力します。ユーザーは求められたときにパスワードを変更することも有効期限日まで待つこともできます。この値は最大999日まで設定できます。この値が6日未満の場合、ユーザーは期限切れの警告を受け取りません。
AD およびLDAPソースユーザーの場合 :[Password expires after(パスワードの有効期限)]設定は表示されません。有効期限は Active Directory (AD)およびLightweight Directory Access Protocol (LDAP)からインポートされ、さまざまです。
- Lock out(ロックアウト) :以下のオプションから選択します。
- Lock out user after(ロックアウトまでの試行回数) :アカウントがロックアウトされるまでに無効なパスワードを入力してログインを試行できる回数を入力します。許可される無効なログイン試行回数は最大100回までです。
- Account is automatically unlocked after(アカウントが自動的にロック解除されるまでの時間) :ロックされたアカウントが自動的にロック解除されるまでの分数。自動ロック解除ではその他のユーザーアクションは不要で、最小設定値は1分です。これは最大9,999分に設定できます。これはデフォルトでは有効になっていません。
- Show lock out failures(失敗によるロックアウトの表示) :サインインページにメッセージを表示して、失敗したログイン試行数が多すぎたためにアカウントからロックアウトされたことをエンドユーザーに警告する場合に選択します。
- Send a lockout email to user(ユーザーにロックアウトメールを送信) :失敗したサインイン試行回数が多すぎたためにアカウントがロックされた場合にユーザーにメールを送信するにはにこのオプションを選択します。You can customize the Account Locked(アカウントがロックされました) メールは [Settings(設定) ]> [Email & SMS(メールとSMS)]でカスタマイズできます。メールにリンクを挿入して、ユーザーがアカウントをロック解除できるようにすることもできます。リンクを有効にするには、適切な パスワード ポリシーの設定を開いて[The user can perform self-service account unlock(ユーザーがセルフサービスロック解除を実行可能)]を選択します。
Oktaには、 ADおよびLDAPソースユーザーがOktaへのサインイン試行に失敗した回数が多すぎたためにWindowsアカウントおよびハードウェアデバイスからロックアウトされることを防止する機能があります。この機能はまた、悪意のあるサードパーティがOktaを使ってユーザーをロックアウトすることの防止にも役立ちます。
ADおよびLDAPのロックアウトを防止するには、 ADおよびLDAPで設定されているサインイン試行失敗回数の上限値より低い値を[Lock out user after <#> unsuccessful attempts(#回失敗した後にロックアウト)] に入力するようにします。たとえば、Windowsのサインイン試行に失敗できる最大回数がADおよびLDAPで10に設定されている場合、OktaではOktaのサインイン失敗のリミットを9に設定することを推奨します。エンドユーザーがOktaで設定したサインインのリミットを超えると、それ以上の試行失敗数はADとLDAPには送られず、これによりユーザーはWindowsアカウントからロックアウトされることを防止できます。ADでは、ロックアウトされたOktaユーザーはセルフサービスアカウントロック解除を使用するか、Okta管理者からの支援を求めてください。ロックされたLDAP ソースアカウントはユーザーがロック解除することはできず、管理者がロック解除する必要があります。
これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。
- Unlock(ロック解除) :以下のオプションから選択します。
- Unlock users in Okta and Active Directory(OktaとActive Directoryでユーザーをロック解除) :ADとOktaでユーザーアカウントをロック解除するにはこのオプションを選択します。
Unlock users in only Okta(Oktaでユーザーをロック解除) :Oktaでユーザーアカウントをロック解除するにはこのオプションを選択します。
- [Account Recovery(アカウントの復元)]セクションで以下のフィールドに入力します。
Self-service recovery options(セルフサービス復元オプション):以下のオプションから選択します。
SMS :パスワードを忘れたユーザーにパスワードリセットコードをSMSで送信する場合にこのオプションを選択します。
Voice Call(電話) :パスワードを忘れたユーザーに電話でパスワード リセットコードを教える場合にこのオプションを選択します。
Email(メール) :パスワードを忘れたユーザーにパスワードリセットコードをメールで送信する場合にこのオプションを選択します。
Reset/Unlock recovery emails are valid for(リセット/ロック解除復元メールの有効期間) :復元リンクが有効な期間の分数、時間数、または日数で入力します。最長期間は180日です。
この機能が有効になった後にエンドユーザーが初めてログインするとき、電話番号を入力するか、[Remind me later(あとで通知する)]をクリックして、翌月の1日以降にサインインするときに通知を受け取ることができます。
SMSでパスワードをリセットするときには、パスワードセキュリティ質問が必要です。早期アクセス機能を使用すると、パスワード復元フローからセキュリティ質問を省くことができます。これはOktaとActive Directory(AD)ソースユーザーにのみ適用されます。有効にする場合は、Oktaサポートにご連絡ください。
Additional self-service recovery option(その他のセルフサービス復元オプション) :その他のセルフサービス復元オプションを1つ選択し、セキュリティ質問の答えの最小文字数を入力します。
- [Create Policy(ポリシーを作成)]をクリックします。
- オプション。パスワード ポリシールールを作成します。
- [Authentication(認証)] ページをスクロールダウンして[Add Rule(ルールを追加)]をクリックします。
- 以下のフィールドに入力します。
- Rule Name(ルール名):ルールの名前を入力します。
- Exclude Users(ユーザーの除外) :ルールから除外するユーザーの名前を入力します。
- IF User's IP is(ユーザーのIP場所) :IPアドレスがパブリックゲートウェイに登録されているかどうかにかかわらずすべてのユーザーに適用する場合にはAnywhere(どこでも)を選択し、すべてのゾーンまたは特定ゾーンのユーザーに適用する場合にはIn zone(ゾーン内) を選択し、すべてのゾーンの外または特定ゾーンの外のユーザーにルールを適用する場合にはNot in zone(ゾーン外) を選択します。パブリックゲートウェイIPリストおよびIPゾーン機能の詳細は、ネットワーク ゾーンを参照してください。
- THEN User can:(その後ユーザーができること) :ユーザーがパスワードを変更して [Perform self-service password reset(セルフサービスパスワードリセットを実行)]オプションを使用できるようにするには [Change password(パスワード変更)] を選択し、サインインできないかパスワードを忘れたユーザーがセルフサービスパスワードリセットを実行してエンドユーザーサインインページに[Forgot password? (パスワードを忘れた場合)]リンクを表示するには[Perform self-service password reset(セルフサービスパスワードリセットを実行)] を選択し、ユーザーがサインインページで [Unlock account?(アカウントをロック解除する)リンクをクリックしてアカウントをロック解除できるようにするには[Perform self-service account unlock(セルフサービスロック解除)] を選択します。LDAPソースOktaユーザーアカウントのセルフサービスロック解除オプションを選択した場合、ユーザーアカウントはOktaでロック解除されますが、LDAPインスタンスではロックされたままです。セルフサービスロック解除を許可しない場合位は、ユーザー パスワードの個別リセットを参照してください。
- [Create Rule(ルールを作成)]をクリックします。