パスワードポリシーを構成する

管理者はパスワードポリシーを使用して、パスワードポリシーと、グループおよび認証プロバイダーレベルでパスワード設定を強制する関連ルールを定義できます。Oktaでは、強力なパスワードの使用を適用して組織の資産をより適切に保護するために、デフォルトポリシーが提供されます。管理者は、デフォルトポリシーより制限の緩い(または厳しい)別のポリシーを作成し、それをグループメンバーシップに基づいてユーザーに適用することもできます。

Lightweight Directory Access Protocol (LDAP)サーバーのパスワードポリシーでユーザーによるパスワードの変更が許可されていない場合、LDAPをソースとするユーザーによるパスワードリセット要求が失敗することがあります。パスワードのリセットに失敗した場合、Okta LDAPエージェントのログにLDAPエラーコードが提供されます。ユーザーによるパスワードの変更を許可するパスワードポリシーを作成するには、ベンダーが提供するLDAPサーバーのマニュアルを参照してください。

管理者がLDAPをソースとするユーザーの一時パスワードを作成するときは、ユーザーは、LDAPサーバーのパスワードポリシーで必要な場合または許可されている場合、次のサインイン時にパスワードを変更する必要があります。一時パスワードをサポートするパスワードポリシーを作成するには、ベンダーが提供するLDAPサーバーのマニュアルを参照してください。

パスワードポリシーを作成する

  1. Admin Console[Security(セキュリティ)][Authentication(認証)]に進みます。
  2. [Password(パスワード)]タブをクリックし、[Add New Password Policy(新しいパスワードポリシーを追加)]をクリックします。
  3. 以下のフィールドに入力します。
    • Policy name(ポリシー名):ポリシーの一意の名前を入力します。
    • Policy description(ポリシーの説明):ポリシーの説明を入力します。
    • Add group(グループを追加):ポリシーを適用するグループの名前を入力します。
  4. [認証プロバイダー]セクションで、ユーザーデータの主なソースを選択します。
    • OktaOktaパスワードポリシーを作成します。
    • Active Directory :Active Directory(AD)パスワードポリシーを作成します。
    • LDAP:LDAPパスワードポリシーを作成します。
  5. [パスワードの設定]セクションの以下のフィールドに入力します。
    • Minimum length(最小の長さ) :パスワードの最小文字数として4~30を入力します(デフォルトは8文字)。 Active Directory(AD)やLDAPソースのユーザーについては、ADやLDAPがこれらの要件を設定して適用します。ここでの設定がADやLDAPの最小設定と同じであることを確認してください。Oktaは最大72文字まで保存します。
    • Complexity requirements(複雑さの要件) :オプションを選択して、ユーザーパスワードに要求される複雑さのレベルを定義します。
    • Common password check(よく使われるパスワードのチェック) [Restrict use of common passwords(よく使われるパスワードの使用を制限する)] を選択して、一般的で弱いパスワードの使用を防止します。
    • 侵害されたパスワードの保護:早期アクセス。orgのユーザー資格情報が侵害された場合に、Oktaがどのように対応するかを構成します。この機能は、LDAP認証プロバイダーに使用されるパスワードポリシーでは使用できません。
      • [Expire the password after this many days(この日数が経過したら、パスワードを期限切れにする)]:ユーザーは、指定された日数の間、侵害された認証情報を使用してサインインできます。
      • [Log out user from Okta immediately(すぐにOktaからユーザーをログアウトする)]:ユーザーはすべてのOktaセッションからすぐにログアウトされます。デフォルトの期限設定「0」で使用する場合、ユーザーは再度サインインする前に新しいパスワードを設定する必要があります。
      • [Take custom actions using Workflows(Workflowsを使用してカスタムアクションを実行する)]:資格情報が侵害された場合にユーザーに通知するには、Okta Workflowsテンプレート:パスワード侵害イベントの通知を送信ワークフローを使用します。または、委任ワークフローを使用してレスポンスをカスタマイズします。
    • Password age(パスワードの有効期間):次のオプションを選択します。
      • Enforce password history for last(最後のパスワード履歴を記録):ユーザーによって異なるパスワードが何個作成されたら以前のパスワードの再利用を可能にするかを指定します。これにより、ユーザーは指定された期間、以前のパスワードを再利用できなくなります。この設定は、1〜30個のパスワードで構成できます。
      • Minimum password age is(パスワードの変更禁止期間) :パスワードの変更に必要な最小の時間間隔を入力します。この設定により、ユーザーは[Enforce password history for last(パスワード履歴の強制適用)]の要件を迂回できなくなります。この設定は、最大で9,999分に構成できます。
      • Password expires after(次の経過後にパスワードの有効期限が切れます) :パスワードの変更が必要になるまでの有効期間の日数を入力します。ユーザーのパスワードの有効期限が切れた場合、Oktaにサインインするにはパスワードを変更する必要があります。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。

        [For AD and LDAP sourced users(ADおよびLDAPをソースとするユーザーの場合)][Password expires after(パスワードの有効期限)]設定は表示されません。有効期限は異なる場合があり、ADとLDAPからインポートされます。

      • Prompt user(ユーザーにプロンプトを表示):パスワードの有効期限の何日前にパスワードの変更をユーザーに求めるかを入力します。ユーザーはプロンプトが表示されたときにパスワードを変更するか、有効期限まで待つことができます。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。
    • Lock out(ロックアウト)

      次のオプションを選択します。

      • Lock out user after(次の経過後にユーザーはロックアウトされます) :アカウントがロックアウトされるまでに無効なパスワードを入力してログインを試行できる回数を入力します。無効なログインの最大試行回数は100回です。「ロックアウトについて」を参照してください。
      • Account is automatically unlocked after(次の経過後にアカウントは自動的にロック解除されます) :ロックされたアカウントが自動的にロック解除されるまでの分数を入力します。自動ロック解除には追加のユーザーアクションは必要ありません。最小設定は1分です。この設定は、最大で9,999分に構成できます。デフォルトでは有効化されていません。
      • Show lock out failures(ロックアウトのエラーを表示):ログイン試行の失敗回数が多すぎるためにアカウントからロックアウトされた場合に、エンドユーザーに警告します。
      • Send a lockout email to user(ユーザーにロックアウトメールを送信):サインイン試行の失敗回数が多すぎるためにアカウントがロックされた場合に、ユーザーにメールを送信します。Account Locked(アカウントロック)メールは、[Settings(設定)][Email & SMS(メールとSMS)]でカスタマイズできます。メールにリンクを挿入して、ユーザーが自分のアカウントをロック解除できるようにすることもできます。リンクを有効にするには、適切なメールを開き、[The user can perform self-service account unlock(ユーザーがセルフサービスロック解除を実行可能)]を選択します。
    • Unlock(ロック解除):認証プロバイダーとしてActive Directoryを選択した場合、次のオプションを選択できます。
      • OktaとActive Directoryのユーザーをロック解除:ADとOktaのユーザーアカウントをロック解除します。
      • Unlock users in only Okta(Oktaユーザーのみロック解除):Oktaのユーザーアカウントをロック解除します。

    新しい開発者orgを作成する場合、パスワードの要件は次の設定を満たすか、それ以上でなければなりません。

    • Minimum length(最小の長さ):12文字
    • Restrict use of common passwords(よく使われるパスワードの使用を制限):有効
    • Enforce password history for last(パスワード履歴の強制適用):最近の24個のパスワード
    • Minimum password age is(パスワードの変更禁止期間):2時間
    • Lock out user after(ロックアウトまでの試行回数):10回
  6. [アカウントの復元]セクションで以下のフィールドに入力します。

    Self-service recovery options(セルフサービス復旧オプション):次のオプションを選択します。

    • SMS:パスワードを忘れたユーザーに、パスワードリセットコードが含まれるテキストメッセージを送信します。ユーザーは電話番号を入力するか、[Remind me later(後で通知)]をクリックできます。リマインダーは翌月1日以降のサインイン時に表示されます。

      SMSでパスワードのリセットを実行するには、セキュリティ質問が必要です。早期アクセス機能を使用すると、パスワード復元フローからセキュリティ質問を省略できます。これはOktaとADをソースとするユーザーにのみ適用されます。有効にする場合は、Oktaサポートにお問い合わせください。

    • Voice Call(音声通話) :パスワードを忘れたユーザーに、パスワードリセットコードを音声で送信します。

    • Email(メール) :パスワードを忘れたユーザーに、パスワードリセットコードが記載されたメールを送信します。

    • Reset/Unlock recovery emails are valid for(リセット/ロック解除の復旧メールは次に対して有効です):復旧リンクの有効期間を分数、時間数、または日数として入力します。このフィールドで使用できる値は次のとおりです。
      • 60~300,000分
      • 1~5,000時間
      • 1~208日

    Password recovery question complexity(パスワード復旧用の質問の複雑さ):セキュリティ質問の回答で必要とされる最小文字数を入力します。

    パスワード復旧質問の答えを5回間違えると、ユーザーアカウントはロックされます。

  7. [Create Policy(ポリシーを作成)]をクリックします。

パスワードポリシールールを作成する

  1. 任意。

    Admin Console[Security(セキュリティ)][Authentication(認証)]に進みます。

  2. [Password(パスワード)]タブをクリックします。
  3. [Add Rule(ルールを追加)]をクリックします。
  4. 次のフィールドに情報を入力します。
    • Rule Name(ルール名):ルールの名前を入力します。
    • Exclude Users(ユーザーを除外):ルールから除外するユーザーの名前を入力します。入力を開始すると、テキストに一致するユーザー名の候補が表示されます。 リストから目的のユーザーを選択します。除外するユーザーごとにこれを繰り返します。
    • IF User's IP is(ユーザーのIPが次の場合)
      • Anywhere(任意の場所):IPアドレスがパブリックゲートウェイIPリストに載っているかどうかに関わらずすべてのユーザーにルールを適用します。
      • In zone(ゾーン内):すべてのゾーン、または特定のゾーンのユーザーにルールを適用します。[All Zones(すべてのゾーン)]チェックボックスを選択して、[Zones(ゾーン)]フィールドに特定のゾーンを入力します。
      • Not in zone(ゾーン外):すべてのゾーン、または特定のゾーンのユーザーを除外してルールを適用します。[All Zones(すべてのゾーン)]チェックボックスを選択して、[Zones(ゾーン)]フィールドに特定のゾーンを入力します。

        パブリックゲートウェイIPリストとIPゾーンの機能の詳細については、「ネットワークゾーン」を参照してください。

    • THEN User can(設定後にユーザーができること):
      • change password(パスワード変更):ユーザーがパスワードを変更することを許可し、[perform self-service password reset(セルフサービスによるパスワードのリセットを行う)]オプションを利用できるようにします。
      • [perform self-service password reset(セルフサービスによるパスワードのリセットを行う)]:サインインできない、またはパスワードを忘れたユーザーがセルフサービスパスワードリセットを行えるようにし、Sign-In Widget [Forgot password?(パスワードを忘れた場合)]を表示します。
      • perform self-service account unlock(セルフサービスによるアカウントのロック解除を実行):ユーザーがSign-In Widget [Unlock account?(アカウントのロック解除)]をクリックして自分のアカウントのロックを解除できるようにします。LDAPをソースとするOktaユーザーアカウントに対してセルフサービスのロック解除オプションを選択すると、Oktaでユーザーアカウントをロック解除しても、オンプレミスLDAPインスタンスではロックされたままになります。セルフサービスによるロック解除を許可しない場合は、「ユーザーパスワードをリセットする」を参照してください。
  5. [Create Rule(ルールを作成)]をクリックします。

ロックアウトについて

AD/LDAPソフトロック

Oktaには、Oktaサインイン試行の失敗回数が多すぎるために、ADやLDAPソースのユーザーがWindowsアカウントやハードウェアデバイスからロックアウトされることを防ぐ機能があります。この機能は、悪意のある第三者がOktaを使ってユーザーをロックアウトさせることを防ぐのにも役立ちます。

Active DirectoryやLDAPのロックアウトを防ぐために、[Lock out user after <#unsuccessful attempts(#回以上失敗した後にロックアウト)]に入力した数が、ADやLDAPで構成されたサインイン試行の失敗制限よりも小さいことを確認してください。たとえば、ADやLDAPでWindowsサインイン試行の最大失敗回数が10回に設定されている場合は、サインインの最大失敗回数を9回に設定することをお勧めします。ユーザーがOktaで設定したサインイン制限を超えると、それ以後に失敗した試行はADやLDAPに送信されません。これにより、ユーザーが自分のWindowsアカウントからロックアウトされることを防ぐことができます。ADでは、ロックアウトされたOktaユーザーはセルフサービスによるアカウントのロック解除を使用するか、Okta管理者にサポートを求めることができます。ロックされたLDAPソースアカウントをロック解除できるのは、管理者だけです。

不明なデバイスによるロックアウトの検知

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

またOktaでは、OktaをソースとするユーザーがOktaサインイン試行の失敗を重ねることが原因でOktaアカウントからロックアウトされることも防止されます。この機能により、不明なデバイスからの不審なサインイン試行をブロックできます。

Oktaは、サインイン試行が既知のデバイスからのものか、不明なデバイスからのものかを検出できます。既知のデバイスとは、以前にOktaへのサインインに使用されたことがあるデバイスです。不明なデバイスとは、Oktaへのサインインに使用されたことがないデバイスです。

失敗したサインイン試行が不明なデバイスによるものであるとOktaが判断した場合、不明なデバイスからの新たなサインイン試行はロックされます。Oktaは、既知のデバイスからのサインインはユーザーに許可します。これにより、Oktaユーザーのアカウントへのアクセスが不正なパーティによって妨害されないようにし、アカウントの保護を高められます。

不明なデバイスによる最小ロックアウト時間は2時間です。ロックアウト中に新しいデバイスからサインインする必要がある正当なユーザーの場合、Oktaはセルフサービスによるアカウントロック解除フローを開始します(org管理者が機能を有効にしている場合)。ユーザーがアカウントのロックを解除すると、新しいデバイスからサインインできるようになります。

この機能をアクティブ化する上で、管理者が何らかの設定を構成する必要はありません。

既知の制限

管理者は、不明なデバイスが原因でロックアウトされたユーザーアカウントをAdmin Consoleで確認できず、アカウントのロックを解除することもできません。デバイスを紛失したユーザーが新しいデバイスを使用できるように、管理者はセルフサービスによるアカウントロック解除機能を有効化してください。そうすることで、ユーザーはロックアウト時間が経過するのを待たずにアカウントにアクセスできます。「セルフサービス復旧オプション」を参照してください。

関連項目

パスワードポリシー

MFA登録ポリシー

Oktaのサインオンポリシー

アプリのサインオンポリシー

Oktaサインオンポリシーを構成する

MFA登録ポリシーを構成する

アプリサインオンポリシーを構成する