パスワード・ポリシーを構成する

管理者はパスワード・ポリシーを使用して、パスワード・ポリシーと、グループおよび認証プロバイダー・レベルでパスワード設定を強制する関連ルールを定義できます。Oktaでは、強力なパスワードの使用を適用して、組織の資産をより適切に保護するための、デフォルト・ポリシーが提供されています。管理者は、制限の少ないまたは多い追加のポリシーを作成し、グループ・メンバーシップに基づいてそれらをユーザーに適用することもできます。

LDAPサーバーのパスワード・ポリシーでユーザーが自分のパスワードを変更できない場合、Lightweight Directory Access Protocol(LDAP)をソースとするユーザーによるパスワード・リセット要求が失敗することがあります。パスワードのリセットに失敗した場合、Okta LDAPエージェントのログにLDAPエラー・コードが提供されます。ユーザーが自分のパスワードを変更できるパスワード・ポリシーを作成するには、ベンダーが提供するLDAPサーバーのマニュアルを参照してください。

管理者がLDAPをソースとするユーザーの一時パスワードを作成するときは、ユーザーは、LDAPサーバーのパスワード・ポリシーで必要な場合または許可されている場合、次のサインイン時にパスワードを変更する必要があります。 一時パスワードをサポートするパスワード・ポリシーを作成するには、ベンダーが提供するLDAPサーバーのマニュアルを参照してください。

  1. 管理コンソールで、[セキュリティー] > [認証]に移動します。

  2. [パスワード]タブをクリックし、[新しいパスワード・ポリシーを追加]をクリックします。
  3. 以下のフィールドに入力します。
    • [ポリシー名]:一意なポリシーの名前を入力します。
    • [ポリシーの説明]:ポリシーの説明を入力します。
    • [グループを追加]:ポリシーを適用するグループの名前を入力します。
  4. [認証プロバイダー]セクションで、ユーザー・データのプライマリ・ソースを選択します。
    • [Okta]:Oktaパスワード・ポリシーを作成するには、このオプションを選択します。
    • [Active Directory]:Active Directory(AD)パスワード・ポリシーを作成するには、このオプションを選択します。
    • [LDAP]:LDAPパスワード・ポリシーを作成するには、このオプションを選択します。
  1. [パスワード設定]セクションの以下のフィールドに入力します。
    • [最小の長さ]:パスワードの最小の長さを4〜30文字で入力します(デフォルトの最小の長さは8文字です)。Active Directory(AD)およびLightweight Directory Access Protocol(LDAP)をソースとするユーザーの場合、これらの要件はADおよびLDAPによって設定および適用されます。ここでの設定がADおよびLDAPの最小設定と同じであることを確認します。Oktaが保存できる最大文字数は72文字です。
    • [複雑さの要件]:いずれかまたはすべてのオプションを選択して、ユーザー・パスワードに必要な複雑さのレベルを定義します。
    • [よく使われるパスワードのチェック]:よく使われる弱いパスワードの使用を防止するには、[よく使われるパスワードの使用を制限する]を選択します。
    • [パスワードの有効期間]:以下のオプションを選択します。
      • [最後のパスワード履歴を記録]:ユーザーが以前のパスワードを再利用する前に作成する必要がある、異なるパスワードの数を入力します。これにより、ユーザーは指定された期間、以前のパスワードを再利用できなくなります。この設定は、1〜30個のパスワードに構成できます。
      • [パスワードの変更禁止期間]:パスワードの変更に必要な最小時間間隔を入力します。この設定により、ユーザーはパスワード履歴の記録の要件を回避できなくなります。この設定は、最大で9,999分に構成できます。
      • [次の経過後にパスワードの有効期限が切れます:]:パスワードを変更する必要が生じるまでの、パスワードが有効な日数を入力します。ユーザーのパスワードの有効期限が切れた場合、Oktaにサインインするにはパスワードを変更する必要があります。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。

        • ADおよびLDAPをソースとするユーザーの場合:[次の経過後にパスワードの有効期限が切れます:]設定は表示されません。有効期限は異なる場合があり、Active Directory(AD)およびLightweight Directory Access Protocol(LDAP)からインポートされます。

      • [ユーザーにプロンプトを表示]:パスワードの有効期限が切れる何日前にユーザーにパスワードの変更を求めるプロンプトを表示するかを入力します。ユーザーはプロンプトが表示されたときにパスワードを変更するか、有効期限まで待つことができます。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。
    • [ロックアウト]:
      以下のオプションを選択します。
      • [次の経過後にユーザーはロックアウトされます]:アカウントがロックされるまでに、ユーザーが無効なパスワードで自分のアカウントへのログインを試行できる回数を入力します。無効なログインの最大試行回数は100回です。以下の「ロックアウトについて」をご覧ください。
      • [次の経過後にアカウントは自動的にロック解除されます]:ロックされたアカウントが自動的にロック解除されるまでのロック時間を分数で入力します。自動ロック解除には追加のユーザー・アクションは必要ありません。最小設定は1分です。この設定は、最大で9,999分に構成できます。デフォルトでは有効化されていません。
      • [ロックアウトのエラーを表示]:このオプションを選択すると、ログインの試行失敗回数が多いためにアカウントからロックアウトされた場合に、エンド・ユーザーに警告するためのメッセージがサインイン・ページに表示されます。
      • [ロックアウトのメールをユーザーに送信します]:このオプションを選択すると、サインインの試行失敗回数が多いためにアカウントがロックされた場合に、ユーザーにメールが送信されます。[アカウント・ロック]メールは、[設定] > [メール] & [SMS]でカスタマイズできます。メールにリンクを挿入して、ユーザーが自分のアカウントをロック解除できるようにすることもできます。リンクを有効にするには、適切なメールを開き、[ユーザーがセルフ・サービスのアカウントのロック解除を実行可能]を選択します。
    • [ロック解除]:以下のオプションを選択します。
      • [OktaとActive Directoryのユーザーをロック解除]:ADおよびOktaのユーザー・アカウントをロック解除するには、このオプションを選択します。
      • [Oktaユーザーのみロック解除]:Oktaのユーザー・アカウントをロック解除するには、このオプションを選択します。
  2. [アカウント復旧]セクションの以下のフィールドに入力します。
    • [セルフサービス復旧オプション]:以下のオプションを選択します。
      • [SMS]:パスワードを忘れたユーザーに、パスワード・リセット・コードを含むテキスト・メッセージを送信するには、このオプションを選択します。

        • この機能が有効にされた後に初めてエンド・ユーザーがログオンした際に、電話番号を入力するか、[後で通知]をクリックして、サインイン時または翌月の1日以降にリマインダーを受け取ることができます。

        SMSでパスワード・リセットを実行するには、パスワードのセキュリティー上の質問が必要です。早期アクセス機能を使用すると、パスワード復旧フローからセキュリティー上の質問を省略できます。これは、OktaとActive Directory(AD)をソースとするユーザーにのみ適用されます。有効にする場合は、Oktaサポートにお問い合わせください。

      • [音声通話]:パスワードを忘れたユーザーに、パスワード・リセット・コードを聞くことができる音声通話を送信するには、このオプションを選択します。

      • [メール]:パスワードを忘れたユーザーに、パスワード・リセット・コードを含むメールを送信するには、このオプションを選択します。

      • [リセット/ロック解除の復旧メールは次に対して有効です:]:復旧リンクの有効期限が切れるまでの、復旧リンクが有効な分数、時間数、または日数を入力します。最長期間は180日です。
    • [その他のセルフサービス復旧オプション]:その他のセルフサービス復旧オプションを選択し、セキュリティー上の回答に含める必要がある最小文字数を入力します。
  1. [ポリシーを作成]をクリックします。
  2. 任意:パスワード・ポリシー・ルールを作成します。
    1. [認証]ページで、下にスクロールして[ルールを追加]をクリックします。
    2. 以下のフィールドに入力します。
      • [ルール名]:ルールの名前を入力します。
      • [ユーザーを除外]:ルールから除外するユーザーの名前を入力します。
      • [ユーザーのIPが次の場合:]:[すべての場所]を選択して、IPアドレスが[パブリック・ゲートウェイIP]リストにあるかどうかに関係なく、すべてのユーザーにルールを適用するか、[ゾーン内]を選択して、すべてのゾーン内または特定のゾーン内のユーザーにルールを適用するか、[ゾーン外]を選択して、すべてのゾーン外または特定のゾーン外のユーザーにルールを適用します。 [パブリック・ゲートウェイIP]リストとIPゾーンの機能の詳細については、「ネットワーク・ゾーン」を参照してください。
      • [ユーザーは次のことが可能です:]:[パスワードを変更する]を選択すると、ユーザーが自分のパスワードを変更できるようになり、[セルフサービスによるパスワードのリセットを行う]オプションが使用できるようになります。[セルフサービスによるパスワードのリセットを行う]を選択すると、サインインできないユーザーまたはパスワードを忘れたユーザーがセルフサービスのパスワード・リセットを実行できるようになり、エンド・ユーザーのサインイン・ページに[パスワードを忘れましたか?]リンクが表示されるようになります。[セルフサービスによるアカウントのロック解除を行う]を選択すると、ユーザーがサインイン・ページの[アカウントをロック解除しますか?]リンクをクリックすることで、自分のアカウントをロック解除できるようになります。 LDAPをソースとするOktaユーザー・アカウントに対してセルフサービスのロック解除オプションを選択すると、Oktaでユーザー・アカウントをロック解除しても、オンプレミスLDAPインスタンスではロックされたままになります。セルフサービスのロック解除を許可しない場合は、「個々のユーザー・パスワードをリセットする」を参照してください。
    3. [ルールを作成]をクリックします。

ロックアウトについて

AD/LDAPソフト・ロック

Oktaには、Oktaへのサインイン試行の失敗回数が多すぎることが原因で、ADおよびLDAPをソースとするユーザーが自分のWindowsアカウントおよびハードウェア・デバイスからロックアウトされることを防ぐ機能があります。この機能は、悪意のある第三者がOktaを使用してユーザーをロックアウトすることを防ぐためにも役立ちます。

Active DirectoryおよびLDAPのロックアウトを防ぐために、[次の経過後にユーザーはロックアウトされます]に入力した数が、ADおよびLDAPで構成されたサインイン試行の失敗の制限よりも小さいことを確認してください。<>たとえば、ADおよびLDAPでWindowsサインインの最大試行失敗回数が10回に設定されている場合、Oktaではサインインの最大失敗回数を9回に設定することをお勧めします。エンド・ユーザーがOktaで設定されたサインイン制限を超えた場合、追加の試行失敗はADまたはLDAPに送信されないため、ユーザーが自分のWindowsアカウントからロックアウトされることを防ぐことができます。ADでは、ロックアウトされたOktaユーザーはセルフ・サービスのアカウントのロック解除を使用するか、Okta管理者にサポートを求めることができます。ロックされたLDAPから提供されるアカウントは、ユーザーではロック解除できず、管理者がロック解除する必要があります。

関連項目

パスワード・ポリシーについて

多要素認証登録ポリシーについて

Oktaサインオン・ポリシーについて

アプリ・サインオン・ポリシーについて

Oktaサインオン・ポリシーを構成する

多要素認証登録ポリシーを構成する

アプリ・サインオン・ポリシーを構成する