パスワードポリシーを構成する
管理者はパスワードポリシーを使用して、パスワードポリシーと、グループおよび認証プロバイダー・レベルでパスワード設定を強制する関連ルールを定義できます。Oktaでは、強力なパスワードの使用を適用して、組織の資産をより適切に保護するためのデフォルトポリシーが提供されています。管理者は、デフォルトポリシーより制限の緩い(または厳しい)追加ポリシーを作成し、それをグループメンバーシップに基づいてユーザーに適用することもできます。
LDAPサーバーのパスワードポリシーでユーザーが自分のパスワードを変更できない場合は、Lightweight Directory Access Protocol (LDAP)をソースとするユーザーによるパスワード・リセット要求が失敗することがあります。パスワードのリセットに失敗した場合、Okta LDAPエージェントのログにLDAPエラーコードが提供されます。ユーザーが自分のパスワードを変更できるパスワードポリシーを作成するには、ベンダーが提供するLDAPサーバーのマニュアルを参照してください。
管理者がLDAPをソースとするユーザーの一時パスワードを作成するときに、LDAPサーバーのパスワードポリシーでこのパスワードを要求または許可する場合、ユーザーは次回のサインイン時にパスワードを変更する必要があります。一時パスワードをサポートするパスワードポリシーを作成するには、ベンダーが提供するLDAPサーバーのマニュアルを参照してください。
パスワードポリシーを作成する
- Okta Admin Consoleで、[セキュリティ]>[認証]に移動します。
- [パスワード]タブをクリックし、[Add New Password Policy(新しいパスワードポリシーを追加)]をクリックします。
- 以下のフィールドに入力します。
- ポリシー名:ポリシーの一意の名前を入力します。
- [ポリシーの説明]ポリシーの説明を入力します。
- グループを追加:ポリシーを適用するグループの名前を入力します。
- [認証プロバイダー]セクションで、ユーザーデータの主なソースを選択します。
- Okta:Oktaパスワードポリシーを作成します。
- Active Directory :Active Directory(AD)パスワードポリシーを作成します。
- LDAP:LDAPパスワードポリシーを作成します。
- [パスワードの設定]セクションの以下のフィールドに入力します。
- 最小の長さ :パスワードの最小文字数として4~30を入力します(デフォルトは8文字)。 Active Directory(AD)およびLightweight Directory Access Protocol(LDAP)をソースとするユーザーの場合、これらの要件はADおよびLDAPによって設定および適用されます。ここでの設定がADおよびLDAPの最小設定と同じであることを確認します。Oktaは最大72文字まで保存します。
- 複雑さの要件 :オプションを選択して、ユーザーパスワードに要求される複雑さのレベルを定義します。
- Common password check(一般的なパスワードのチェック) :[Restrict use of common passwords(一般的なパスワードの使用を制限)] を選択して、一般的で弱いパスワードの使用を防止します。
- Password age(パスワードの有効期間):以下のオプションを選択します。
- Enforce password history for last(パスワード履歴の強制適用):ユーザーが以前のパスワードを再利用する前に作成する必要がある、異なるパスワードの数を入力します。これにより、ユーザーは指定された期間、以前のパスワードを再利用できなくなります。この設定は、1〜30個のパスワードで構成できます。
- Minimum password age is(パスワードの最小有効期間は) :パスワードの変更に必要な最小時間間隔を入力します。この設定により、ユーザーはパスワード履歴の記録の要件を回避できなくなります。この設定は、最大で9,999分に構成できます。
- Password expires after(パスワードの有効期限) :パスワードの変更が必要になるまでの有効期間の日数を入力します。ユーザーのパスワードの有効期限が切れた場合、Oktaにサインインするにはパスワードを変更する必要があります。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。
- Prompt user(ユーザーにプロンプトを表示):パスワードの有効期限が切れる何日前にユーザーにパスワードの変更を求めるプロンプトを表示するかを入力します。ユーザーはプロンプトが表示されたときにパスワードを変更するか、有効期限まで待つことができます。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。
ADおよびLDAPをソースとするユーザーの場合:[Password expires after(パスワードの有効期限)]設定は表示されません。有効期限は異なる場合があり、ADおよびLDAPからインポートされます。
- ロックアウト:
次のオプションを選択します。
- 次の経過後にユーザーはロックアウトされます :アカウントがロックアウトされるまでに無効なパスワードを入力してログインを試行できる回数を入力します。無効なログインの最大試行回数は100回です。「ロックアウトについて」を参照してください。
- 次の経過後にアカウントは自動的にロック解除されます :ロックされたアカウントが自動的にロック解除されるまでの分数を入力します。自動ロック解除には追加のユーザーアクションは必要ありません。最小設定は1分です。この設定は、最大で9,999分に構成できます。デフォルトでは有効化されていません。
- ロックアウトのエラーを表示:ログイン試行の失敗回数が多すぎるためにアカウントからロックアウトされた場合に、エンドユーザーに警告します。
- Send a lockout email to user(ユーザーにロックアウトメールを送信):サインイン試行の失敗回数が多すぎるためにアカウントがロックされた場合に、ユーザーにメールを送信します。[アカウントがロックされました]メールは、[設定] > [メールおよびSMS]でカスタマイズできます。メールにリンクを挿入して、ユーザーが自分のアカウントをロック解除できるようにすることもできます。リンクを有効にするには、適切なメールを開き、[The user can perform self-service account unlock(ユーザーがセルフサービスロック解除を実行可能)]を選択します。
- ロック解除:認証プロバイダーとしてActive Directoryを選択した場合、次のオプションを選択できます。
- Unlock users in Okta and Active Directory(OktaとActive Directoryのユーザーをロック解除):ADとOktaのユーザーアカウントをロック解除します。
- Unlock users in only Okta(Oktaユーザーのみロック解除):Oktaのユーザーアカウントをロック解除します。
- [Account Recovery(アカウントの復元)]セクションで以下のフィールドに入力します。
- [セルフサービス復旧オプション]:以下のオプションを選択します。
- SMS:パスワードを忘れたユーザーに、パスワードリセットコードを記載したテキストメッセージを送信します。電話番号を入力するか、[後で通知]をクリックして、翌月1日以降にサインインするときにリマインダーを受け取ることができます。
- Voice Call(音声通話) :パスワードを忘れたユーザーに、パスワードリセットコードを音声で送信します。
メール :パスワードを忘れたユーザーに、パスワードリセットコードが記載されたメールを送信します。
- Reset/Unlock recovery emails are valid for(リセット/ロック解除の復元メールの有効期限):復旧リンクの有効期間を分数、時間数、または日数として入力します。このフィールドで使用できる値は次のとおりです。
- 60~300,000分
- 1~5,000時間
- 1~208日
SMSでパスワードのリセットを実行するには、セキュリティ質問が必要です。早期アクセス機能を使用すると、パスワード復元フローからセキュリティ質問を省略できます。これはOktaとADをソースとするユーザーにのみ適用されます。有効にする場合は、Oktaサポートにお問い合わせください。
- パスワード復旧用の質問の複雑さ:セキュリティ質問の回答で必要とされる最小文字数を入力します。
- [セルフサービス復旧オプション]:以下のオプションを選択します。
- [ポリシーを作成]をクリックします。
パスワードポリシールールを作成する
- 任意。Admin Consoleで に進みます。
- [パスワード]タブをクリックします。
- [ルールを追加]をクリックします。
- 次のフィールドに情報を入力します。
- Rule Name(ルール名):ルールの名前を入力します。
- ユーザーを除外:ルールから除外するユーザーの名前を入力します。入力を開始すると、テキストに一致するユーザー名の候補が表示されます。 リストから目的のユーザーを選択します。除外するユーザーごとにこれを繰り返します。
- IF User's IP is(ユーザーのIPが次の場合):
- 任意の場所:IPアドレスがパブリックゲートウェイIPリストに載っているかどうかに関わらずすべてのユーザーにルールを適用します。
- ゾーン内:すべてのゾーン、または特定のゾーンのユーザーにルールを適用します。[すべてのゾーン]チェックボックスを選択して、[ゾーン]フィールドに特定のゾーンを入力します。
- ゾーン外:すべてのゾーン、または特定のゾーンのユーザーを除外してルールを適用します。[すべてのゾーン]チェックボックスを選択して、[ゾーン]フィールドに特定のゾーンを入力します。
パブリックゲートウェイIPリストとIPゾーンの機能の詳細については、「ネットワークゾーン」を参照してください。
- 設定後にユーザーができること:
- パスワード変更:ユーザーがパスワードを変更することを許可し、[セルフサービスによるパスワードのリセットを行う]オプションを利用できるようにします。
- [セルフサービスによるパスワードのリセットを行う]:ユーザーが[サインイン・ウィジェット]の[アカウントのロックを解除しますか?]をクリックして、自分のアカウントをロック解除できるようにします。
- perform self-service account unlock(セルフサービスによるアカウントのロック解除を実行):ユーザーが[Sign-In Widget(サインインウィジェット)]の[Unlock account?(アカウントのロックを解除しますか?)]をクリックして、自分のアカウントをロック解除できるようにします。LDAPをソースとするOktaユーザーアカウントに対してセルフサービスのロック解除オプションを選択すると、Oktaでユーザーアカウントをロック解除しても、オンプレミスLDAPインスタンスではロックされたままになります。セルフサービスによるロック解除を許可しない場合は、「ユーザーパスワードをリセットする」を参照してください。
- [ルールを作成]をクリックします。
ロックアウトについて
AD/LDAPソフトロック
Oktaには、ADおよびLDAPをソースとするユーザーが、Oktaサインイン試行の失敗回数が多すぎるためにWindowsアカウントおよびハードウェアデバイスからロックアウトされることを防ぐ機能があります。この機能は、悪意のある第三者がOktaを使用してユーザーをロックアウトすることを防ぐためにも役立ちます。
Active DirectoryおよびLDAPのロックアウトを防ぐために、[Lock out user after <#> unsuccessful attempts(<#>回失敗した後にロックアウト)]に入力した数が、ADおよびLDAPで構成されたサインイン試行の失敗の制限よりも小さいことを確認してください。たとえば、ADおよびLDAPでWindowsサインイン試行の最大失敗回数が10回に設定されている場合、Oktaではサインインの最大失敗回数を9回に設定することをお勧めします。ユーザーがOktaで設定されたサインイン制限を超えた場合、さらに失敗した試行はADまたはLDAPに送信されません。これにより、ユーザーが自分のWindowsアカウントからロックアウトされることを防ぐことができます。ADでは、ロックアウトされたOktaユーザーはセルフサービスによるアカウントのロック解除を使用するか、Okta管理者にサポートを求めることができます。ロックされたLDAPソースアカウントをロック解除できるのは、管理者だけです。
不明なデバイスによるロックアウトの検知
早期アクセスリリース。「早期アクセス機能とBeta機能を管理する」を参照してください。
またOktaでは、OktaをソースとするユーザーがOktaサインイン試行の失敗を重ねることが原因でOktaアカウントからロックアウトされることも防止されます。この機能により、不明なデバイスからの不審なサインイン試行をブロックできます。
Oktaは、サインイン試行が既知のデバイスからのものか、不明なデバイスからのものかを検出できます。既知のデバイスとは、以前にOktaへのサインインに使用されたことがあるデバイスです。不明なデバイスとは、Oktaへのサインインに使用されたことがないデバイスです。
失敗したサインイン試行が不明なデバイスによるものであるとOktaによって判断された場合、不明なデバイスからの新たなサインイン試行はロックされますが、既知のデバイスからのサインインは許可されます。これにより、不正なパーティによってOktaユーザーのアカウントへのアクセスが妨害されることを防ぎ、アカウントの保護を高められます。
不明なデバイスによる最小ロックアウト時間は2時間です。ロックアウト中に新しいデバイスからサインインする必要がある正当なユーザーの場合、Oktaはセルフサービスによるアカウントロック解除フローを開始します(org管理者が機能を有効にしている場合)。ユーザーがアカウントのロックを解除する と、新しいデバイスからサインインできるようになります。
この機能をアクティブ化する上で、管理者が何らかの設定を構成する必要はありません。
既知の制限
管理者は、不明なデバイスが原因でロックアウトされたユーザーアカウントをAdmin Consoleで確認できず、アカウントのロックを解除することもできません。デバイスを紛失したユーザーが新しいデバイスを使用できるように、Oktaでは、管理者がセルフサービスによるアカウントロック解除機能を有効にすることを推奨しています。これにより、ユーザーはロックアウト時間が経過するのを待たずにアカウントにアクセスできるようになります。「セルフサービス復旧オプション」を参照してください。