パスワードポリシーを構成する
管理者はパスワード・ポリシーを使用して、パスワード・ポリシーと、グループおよび認証プロバイダー・レベルでパスワード設定を強制する関連ルールを定義できます。Oktaでは、強力なパスワードの使用を適用して、組織の資産をより適切に保護するためのデフォルトポリシーが提供されています。管理者は、制限の少ないまたは多い追加のポリシーを作成し、グループ・メンバーシップに基づいてそれらをユーザーに適用することもできます。
LDAPサーバーのパスワード・ポリシーでユーザーが自分のパスワードを変更できない場合、Lightweight Directory Access Protocol(LDAP)をソースとするユーザーによるパスワード・リセット要求が失敗することがあります。パスワードのリセットに失敗した場合、Okta LDAPエージェントのログにLDAPエラーコードが提供されます。ユーザーが自分のパスワードを変更できるパスワードポリシーを作成するには、ベンダーが提供するLDAPサーバーのマニュアルを参照してください。
管理者がLDAPをソースとするユーザーの一時パスワードを作成するときは、ユーザーは、LDAPサーバーのパスワードポリシーで必要な場合または許可されている場合、次のサインイン時にパスワードを変更する必要があります。一時パスワードをサポートするパスワードポリシーを作成するには、ベンダーが提供するLDAPサーバーのマニュアルを参照してください。
新しいパスワードポリシールールを作成する
- 管理コンソールで、[Security(セキュリティ)] > [Authentication(認証)]に移動します。
- [Password(パスワード)]タブをクリックし、[Add New Password Policy(新しいパスワードポリシーを追加)]をクリックします。
- 以下のフィールドに入力します。
- [ポリシー名]:一意なポリシーの名前を入力します。
- [ポリシーの説明]:ポリシーの説明を入力します。
- [グループを追加]:ポリシーを適用するグループの名前を入力します。
- [Authentication Providers(認証プロバイダー)]セクションで、ユーザーデータの主なソースを選択します。
- [Okta]:Oktaパスワードポリシーを作成する場合、このオプションを選択します。
- [Active Directory]:Active Directory(AD)パスワードポリシーを作成する場合、このオプションを選択します。
- [LDAP]:LDAPパスワードポリシーを作成する場合、このオプションを選択します。
- [Password Settings(パスワードの設定)]セクションの以下のフィールドに入力します。
- [最小の長さ]:パスワードの最小の長さを4〜30文字で入力します(デフォルトの最小の長さは8文字です)。Active Directory(AD)およびLightweight Directory Access Protocol(LDAP)をソースとするユーザーの場合、これらの要件はADおよびLDAPによって設定および適用されます。ここでの設定がADおよびLDAPの最小設定と同じであることを確認します。Oktaが保存できる最大文字数は72文字です。
- [複雑さの要件]:いずれかまたはすべてのオプションを選択して、ユーザー・パスワードに必要な複雑さのレベルを定義します。
- [よく使われるパスワードのチェック]:よく使われる弱いパスワードの使用を防止するには、[よく使われるパスワードの使用を制限する]を選択します。
- [パスワードの有効期間]:以下のオプションを選択します。
- [最後のパスワード履歴を記録]:ユーザーが以前のパスワードを再利用する前に作成する必要がある、異なるパスワードの数を入力します。これにより、ユーザーは指定された期間、以前のパスワードを再利用できなくなります。この設定は、1〜30個のパスワードに構成できます。
- [パスワードの変更禁止期間]:パスワードの変更に必要な最小時間間隔を入力します。この設定により、ユーザーはパスワード履歴の記録の要件を回避できなくなります。この設定は、最大で9,999分に構成できます。
- [次の経過後にパスワードの有効期限が切れます:]:パスワードを変更する必要が生じるまでの、パスワードが有効な日数を入力します。ユーザーのパスワードの有効期限が切れた場合、Oktaにサインインするにはパスワードを変更する必要があります。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。
- [Prompt user(ユーザーにプロンプトを表示)]:パスワードの有効期限が切れる何日前にユーザーにパスワードの変更を求めるプロンプトを表示するかを入力します。ユーザーはプロンプトが表示されたときにパスワードを変更するか、有効期限まで待つことができます。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。
ADおよびLDAPをソースとするユーザーの場合:[Password expires after(パスワードの有効期限)]設定は表示されません。有効期限は異なる場合があり、ADおよびLDAPからインポートされます。
- [ロックアウト]:
以下のオプションを選択します。- [次の経過後にユーザーはロックアウトされます]:アカウントがロックされるまでに、ユーザーが無効なパスワードで自分のアカウントへのログインを試行できる回数を入力します。無効なログインの最大試行回数は100回です。以下の「ロックアウトについて」をご覧ください。
- [次の経過後にアカウントは自動的にロック解除されます]:ロックされたアカウントが自動的にロック解除されるまでのロック時間を分数で入力します。自動ロック解除には追加のユーザー・アクションは必要ありません。最小設定は1分です。この設定は、最大で9,999分に構成できます。デフォルトでは有効化されていません。
- [Show lock out failures(ロックアウトのエラーを表示)]:このオプションを選択すると、ログインの試行失敗回数が多いためにアカウントからロックアウトされた場合に、エンドユーザーに警告するためのメッセージがサインインページに表示されます。
- [Send a lockout email to user(ロックアウトのメールをユーザーに送信)]:このオプションを選択すると、サインインの試行失敗回数が多いためにアカウントがロックされた場合に、ユーザーにメールが送信されます。[Account Locked(アカウントロック)]メールは、[Settings(設定)] > [Email & SMS(メールとSMS)]でカスタマイズできます。メールにリンクを挿入して、ユーザーが自分のアカウントをロック解除できるようにすることもできます。リンクを有効にするには、適切なメールを開き、[The user can perform self-service account unlock(ユーザーがセルフサービスロック解除を実行可能)]を選択します。
- [Unlock(ロック解除)]:認証プロバイダとしてActive Directoryを選択した場合、次のいずれかのオプションを選択可能です。
- [Unlock users in Okta and Active Directory(OktaとActive Directoryのユーザーをロック解除)]:ADおよびOktaのユーザーアカウントをロック解除するには、このオプションを選択します。
- [Unlock users in only Okta(Oktaユーザーのみロック解除)]:Oktaのユーザーアカウントをロック解除するには、このオプションを選択します。
- [アカウント復旧]セクションの以下のフィールドに入力します。
- [セルフサービス復旧オプション]:以下のオプションを選択します。
- [SMS]:パスワードを忘れたユーザーに、パスワード・リセット・コードを含むテキスト・メッセージを送信するには、このオプションを選択します。
- [音声通話]:パスワードを忘れたユーザーに、パスワード・リセット・コードを聞くことができる音声通話を送信するには、このオプションを選択します。
[メール]:パスワードを忘れたユーザーに、パスワード・リセット・コードを含むメールを送信するには、このオプションを選択します。
- [Reset/Unlock recovery emails are valid for(リセット/ロック解除の復旧メールの有効期限)]:復旧リンクの有効期限が切れるまでの、復旧リンクが有効な分数、時間数、または日数を入力します。このフィールドで許可される値は次の通りです。
- 60~300,000分
- 1~5,000時間
- 1~208日
この機能が有効にされた後に初めてエンド・ユーザーがログオンした際に、電話番号を入力するか、[後で通知]をクリックして、サインイン時または翌月の1日以降にリマインダーを受け取ることができます。
SMSでパスワード・リセットを実行するには、パスワードのセキュリティー上の質問が必要です。アーリーアクセス機能を使用すると、パスワード復旧フローから秘密の質問を省略できます。これはOktaとADをソースとするユーザーにのみ適用されます。有効にする場合は、Oktaサポートにお問い合わせください。
- [Password recovery question complexity(パスワードの復元質問の複雑性)]:秘密の質問の回答で必要とされる最小文字数を入力します。
- [セルフサービス復旧オプション]:以下のオプションを選択します。
- [Create Policy(ポリシーを作成)]をクリックします。
パスワードポリシールールを作成します。
- 任意。[Password(パスワード)]タブで、下にスクロールして[Add Rule(ルール)]を追加)]をクリックします。
- 以下のフィールドに入力します。
- [Rule Name(ルール名)]:ルールの名前を入力します。
- [Exclude Users(ユーザーの除外)]:ルールから除外するユーザーの名前を入力します。入力を開始すると、Oktaにテキストに一致するユーザー名の候補が表示されます。リストから目的のユーザーを選択します。除外するユーザーごとにこれを繰り返します。
- IF[User's IP is(ユーザーのIPが以下の場合)]:
- [Anywhere(任意の場所)] - IPアドレスがパブリックゲートウェイIPリストに載っているかどうかに関わらずすべてのユーザーにルールを適用します。
- [In zone(ゾーン内)] - すべてのゾーン、または特定のゾーンのユーザーにルールを適用します。[All Zones(すべてのゾーン)]チェックボックスを選択して、[Zones(ゾーン)]フィールドに特定のゾーンを入力します。
- [Not in zone(ゾーン外)] - すべてのゾーン、または特定のゾーンのユーザーを除外してルールを適用します。[All Zones(すべてのゾーン)]チェックボックスを選択して、[Zones(ゾーン)]フィールドに特定のゾーンを入力します。
パブリックゲートウェイIPリストとIPゾーンの機能の詳細については、「ネットワークゾーン」を参照してください。
- 設定後にユーザーができること:
- パスワードの変更 - ユーザーがパスワードを変更することを許可し、[perform self-service password reset(セルフサービスによるパスワードリセットを実行)]オプションを利用できるようにします。
- セルフサービスによるパスワードリセットの実行 - サインインできないユーザーやパスワードを忘れたユーザーが、セルフサービスによるパスワードリセットを実行することを許可し、Sign-in Widgetに[Forgot password?(パスワードを忘れた場合)]リンクを表示します。
- セルフサービスによるアカウントのロック解除の実行: ユーザーがSign-in Widgetの[Unlock account?(アカウントのロックを解除しますか?)]をクリックして、アカウントのロックを解除できるようにします。LDAPをソースとするOktaユーザーアカウントに対してセルフサービスのロック解除オプションを選択すると、Oktaでユーザーアカウントをロック解除しても、オンプレミスLDAPインスタンスではロックされたままになります。セルフサービスロック解除を許可しない場合は、「個々のユーザーパスワードをリセットする」を参照してください。
- [Create Rule(ルールを作成)]をクリックします。
ロックアウトについて
AD/LDAPソフト・ロック
Oktaには、Oktaへのサインイン試行の失敗回数が多すぎることが原因で、ADおよびLDAPをソースとするユーザーが自分のWindowsアカウントおよびハードウェアデバイスからロックアウトされることを防ぐ機能があります。この機能は、悪意のある第三者がOktaを使用してユーザーをロックアウトすることを防ぐためにも役立ちます。
Active DirectoryおよびLDAPのロックアウトを防ぐために、[Lock out user after <#> unsuccessful attempts(<#>回失敗した後にロックアウト)]に入力した数が、ADおよびLDAPで構成されたサインイン試行の失敗の制限よりも小さいことを確認してください。たとえば、ADおよびLDAPでWindowsサインインの最大試行失敗回数が10回に設定されている場合、Oktaではサインインの最大失敗回数を9回に設定することをお勧めします。エンドユーザーがOktaで設定されたサインイン制限を超えた場合、追加の試行失敗はADまたはLDAPに送信されないため、ユーザーが自分のWindowsアカウントからロックアウトされることを防ぐことができます。ADでは、ロックアウトされたOktaユーザーはセルフサービスのアカウントのロック解除を使用するか、Okta管理者にサポートを求めることができます。ロックされたLDAPソースのアカウントは、ユーザーではロック解除できず、管理者がロック解除する必要があります。
不明なデバイスによるロックアウトの検知
これはアーリーアクセス機能です。この機能を有効にするには、「アーリーアクセスおよびBeta機能の管理」で説明したように、アーリーアクセス機能マネージャーを使用します。
またOktaでは、OktaをソースとするユーザーがOktaサインイン試行を複数回失敗したことによりOktaアカウントからロックアウトされることを防ぎます。この機能により不明なデバイスからの不審なログイン試行をブロックすることができます。
Oktaでは、既知のデバイス(ユーザーが以前Oktaへのサインイン時に使用したことのあるブラウザなど)によるサインイン試行か、不明なデバイス(Oktaへのサインインに使用したことがないデバイス)によるサインイン試行かを検知できます。失敗したサインイン試行が不明なデバイスによるものであるとOktaによって判断された場合、不明なデバイスからの新たなサインイン試行はロックされますが、既知のデバイスからのサインインは許可されます。これにより、不正なパーティによってOktaユーザーのアカウントへのアクセスが妨害されることを防ぎ、アカウントの保護を高められます。
管理者がカスタマイズしていない場合、不明なデバイスによる最小ロックアウト時間は2時間です。ロックアウト中に新しいデバイスからサインインする必要がある正当なユーザーの場合、Oktaはセルフサービスによるアカウントロック解除フローを開始します(組織管理者が機能を有効にしている場合)。ユーザーがアカウントをロック解除すると、新しいデバイスからサインインできるようになります。
既知の制限
管理者は、不明なデバイスによるロックアウトを受けているユーザーアカウントを管理者用ダッシュボードから確認できません。また、そのようなアカウントのロック解除も行えません。ログインに使用するデバイスを紛失して新しいデバイスしか利用できないユーザーの場合、管理者はセルフサービスによるアカウントロック解除機能を有効にして、ユーザーがロックアウト時間が経過するのを待たずにアカウントにアクセスできるようにすることをおすすめします。「セルフサービス復旧オプション」を参照してください。