Oktaサインオンポリシーを構成する

Oktaサインオンポリシーでは、Oktaにアクセスできるユーザー、Oktaにアクセスできる場所、本人確認の方法を指定できます。Oktaサインオンポリシーを作成するには、ポリシーを作成してルールを追加する必要があります。

Oktaにはデフォルトで、リストに1つのデフォルトのOktaサインオンポリシーがあります。このポリシーの設定をカスタマイズして、包括的なポリシーとして組織のすべてのユーザーに適用することができます。次に、さらにOktaサインオンポリシーを追加して、特定のユーザーグループに適用できます。たとえば、特定のネットワークゾーンからのみOktaにサインインできる特定のユーザーグループ、認証方法、セッションの長さなどを指定できます。

Oktaは、リストに表示されている順序で、リストの最上部からポリシーを評価します。Oktaは、サインイン試行を満たすポリシーが見つかるまで、各ポリシーに対するサインイン試行を検証します。サインイン試行がいずれのカスタムポリシーの要件も満たさない場合、OktaはデフォルトのOktaサインオンポリシーに対してサインイン試行を検証します。サインイン試行がいずれかのポリシーの要件を満たす場合、残りのポリシーは検証されず、ユーザーはOktaにアクセスできます。Oktaでは、リストの並び順は最も制限の高いポリシーを最上部に、最も制限の低いポリシーを下から2番目に、デフォルトのOktaサインオンポリシーを最下部に配置することを推奨しています。

  • Oktaサインオンポリシーを作成したら、新しいポリシーを有効にするために、アクティブなセッションをすべて閉じる必要があります。
  • Oktaサインオンポリシーは、APIトークンの有効性やライフタイムには影響しません。「APIトークンの管理」を参照してください。

Oktaサインオンポリシーを作成する

  1. 管理コンソールで、[Security(セキュリティ)] > [Authentication(認証)]に移動します。

  2. [Sign On(サインオン)]タブをクリックします。

  3. [Add New Okta Sign-on Policy(新規Oktaサインオンポリシーを追加)]をクリックします。

  4. 以下のフィールドに入力します。

    • [Policy Name(ポリシー名)]:サインオンポリシーの名前を入力します。

    • [Policy Description(ポリシーの説明)]:オプションです。Oktaサインオンポリシーの説明を入力します。

    • [Assign to Groups(グループに割り当てる)]:ポリシーを適用するグループの名前を入力します。ポリシーは複数のグループに適用できます。

  5. [ポリシーを作成してルールを追加]をクリックします。

Oktaサインオンポリシールールを追加する

  1. [ルールを追加]をクリックして、ルールをポリシーに追加します。必要に応じて以下のフィールドに入力します。

[Rule Name(ルール名)] 作成するルールのわかりやすい名前を追加します。
[Exclude Users(ユーザーを除外)] 必要に応じて、グループの個々のユーザーをルールから除外できます。
IF [User's IP is(ユーザーのIP)] ドロップダウンメニューを使用して場所のパラメーターを割り当てます。認証を求める場所の種類を指定できます。「ネットワークゾーン」と「ダイナミックゾーン」を参照してください。
AND [Identity provider is(IDプロバイダー:)]

使用するIDプロバイダーを選択します。 詳細については、「IDプロバイダー」を参照してください。

AND [Authenticates via(次で認証:)] 必要な認証方法を選択します。
AND [Behavior is(行動:)]

以前に作成された既存の行動の名前を入力します。行動を追加するには、行動名の入力を開始します。一致するすべての定義済みの挙動のドロップダウンリストが表示され、そこから行動を選択できます。追加する各行動についてこれを繰り返します。複数の行動を追加する場合は、OR条件として扱われます。「サインオンポリシールールに行動を追加する」を参照してください。

リスクの高い行動に対しては、予備の要素の要件を[Every time(毎回)]に設定します。行動条件をデバイスごとまたはセッションごとの予備の要素の要件と組み合わせないでください。

AND [Risk is(リスクレベル)]

リスクスコアリングでは、データ主導のリスクエンジンを使用して、各サインインイベントが異常なアクティビティを表す可能性が高いかどうかを判断します。[Low(低)]、[Medium(中)]、または[High(高)]のリスクレベルを選択します。

[High(高)]を選択した場合は、予備の要素の要件を[Every time(毎回)]に設定します。高リスクレベルをデバイスごとまたはセッションごとの予備の要素の要件と組み合わせないでください。

「リスクスコアリング」を参照してください。

THEN [Access is(アクセスの可否)] 前のドロップダウンリストの認証フォームに基づき、このフォームを使用して条件がアクセスを許可または拒否するかを決定します。

[Authentication(認証)]

多要素認証が必要かどうかを示します。

[Users will authenticate with(ユーザーの認証方法)]

ユーザーの認証方法を選択します。

  • [Password / Any IdP(パスワード/任意のIdP)]:パスワードおよび組織用に構成された任意のIDプロバイダーを使用します。

  • [Password / Any IdP + Any authenticator(パスワード/任意のIdP+任意のオーセンティケーター)]:パスワード、組織用に構成された任意のIDプロバイダー、組織用に構成された任意の要素を使用します。

  • [Factor Sequence(要素シーケンス)]:ユーザーがOktaにサインインしたときに表示されるMFA要素のシーケンスを指定します。手順は「MFA要素シーケンシング」を参照してください。

[Users will be prompted for MFA(ユーザーにMFA用のプロンプトを表示)]

ユーザーが多要素認証を使用する必要がある場合に、使用するためのプロンプトがいつ表示されるかを示します。

  • [At every sign in(サインイン毎)]:ユーザーは、Oktaにサインインするたびに多要素認証を求められます。
  • [When signing in with a new device cookie(新しいデバイスCookieでサインインする場合)]:ユーザーが新しいデバイスでサインインしようとしたとき、または既存のデバイスからCookieが削除された場合に、ユーザーは多要素認証を求められます。ユーザーが[Sign-In Widget(サインインウィジェット)]で[Do not challenge me on this device again(次回からこのデバイスではチャレンジしない)]を選択して認証が成功した場合、MFAはデバイスのCookieを記憶します。デバイスのCookieが有効になっている限り、ユーザーはサインイン時にMFAを求められることはありません。
  • [After MFA lifetime expires for the device cookie(デバイスCookieのMFAのライフタイムが期限切れになった後)]:ユーザーは、MFAのライフタイム期間が期限切れになった後にサインインしようとすると、多要素認証を求められます。ユーザーが[Sign-In Widget(サインインウィジェット)][Do not challenge me on this device again for the next <time>(今後<time>、このデバイスではチャレンジしない)]を選択して認証が成功した場合、MFAはデバイスのCookieを記憶します。デバイスのCookieが有効になっている限り、ユーザーはサインイン時にMFAを求められることはありません。
    • [MFA lifetime(MFAのライフタイム)]:このオプションは、[After MFA lifetime expires for the device cookie(デバイスCookieのMFAのライフタイムが期限切れになった後)]を選択すると表示されます。右側のフィールドに数値を入力し、ドロップダウンリストから値を選択します([Days(日)][Hours(時間)][Minutes(分)])。
  • [Select "Don't prompt me again for MFA" by default(「次回からMFAのプロンプトを表示しない」をデフォルトで選択する]:このオプションを選択すると、デフォルトで多要素認証のプロンプトをユーザーに表示しません。

セッションのライフタイム

Oktaセッションの長さを構成します。

[Maximum Okta session lifetime(Oktaセッションの最大ライフタイム)]

Oktaセッションのライフタイムを構成します。

  • [No time limit(時間制限なし)]:このオプションを選択すると、Oktaセッションに時間制限は適用されませんが、ユーザーセッションはアイドル時間に達すると期限切れになります。

  • [Set time limit(時間制限を設定)]Oktaセッションのライフタイムに時間制限を設定します。右側のフィールドに数値を入力し、ドロップダウンリストから値を選択します([Days(日)][Hours(時間)][Minutes(分)])。

[Expire session after user has been idle on Okta for(ユーザーがOktaで次の間アイドル状態になった後にセッションを期限切れにする:)]

Oktaセッションの最大ライフタイムに関係なく、Oktaセッションが自動的に期限切れになるまでのアイドル時間を構成します。

  • 右側のフィールドに数値を入力し、ドロップダウンリストから値を選択します([Days(日)][Hours(時間)][Minutes(分)])。

[Persist session cookies across browser sessions(ブラウザセッション間でセッションCookieを保持)]

ブラウザセッション間でのセッションCookieの保持を有効化または無効化します。ドロップダウンリストからオプションを選択します。

  • [Enable(有効化)]:ユーザーが希望する場合に、セッションCookieがブラウザーセッション間で保持されることを許可します。この機能を有効化するには、ユーザーが[Sign-In Widget(サインインウィジェット)][Keep me signed in(サインインしたままにする)]を選択する必要があります。

  • [Disable(無効化)]:セッションCookieがブラウザセッション間で保持されることを許可しません。

セッションのライフタイムの最大値は、Okta APIを通じて設定できます。以前にAPIでこの数値を設定した場合、Oktaのアプリでその最大値を超えることはできません。APIの最大値を超える数値を設定すると、エラーが発生します。

複数のOktaサインオンポリシーを追加する場合、基準に一致する最初のポリシーのみが適用されます。

ユニバーサルなOktaサインオンポリシーのアクション

  • 以下のポリシー1の左側に表示されている、ポリシー名の横にある点線のバーをつかみ、リスト内の目的の位置にポリシーを移動して、デフォルトポリシーを除くすべてのポリシーの順序を変更します。

  • ルール名の左側にあるバーをつかみ、ポリシー内のルールの順序を変更します。
  • [Add New Okta Sign-on Policy(新しいOktaサインオン ポリシーを追加)]を選択して新しいポリシーを追加します。

個別のOktaサインオンポリシーのアクション

1つのポリシーに対して次のアクションを実行できます。リストからポリシーを選択して開始します。

  • 選択したポリシーをアクティブ化または非アクティブ化します。ポリシーを非アクティブ化した場合、そのポリシーはどのユーザーにも適用されませんが、後で再アクティブ化できます。
  • ポリシーを編集するには、[Edit(編集)]をクリックします。
  • ポリシーを削除するには、[Delete(削除)]をクリックします。デフォルトのポリシーは削除できません。削除されたポリシーは復元できません。
  • 選択したポリシーにルールを追加するには、[Add Rule(ルールを追加)]をクリックします。ポリシー内で、ルールをアクティブ化、非アクティブ化、編集、または削除できます。
  • ルールの詳細を表示するには、[Add Rule(ルールを追加)]でルール名をクリックします。

認証前サインオン評価ポリシー

AuthN APIを使用してサインインするエンドユーザーは、パスワードまたはその他の要素が確認される前に、まずサインオンポリシーが評価されます。この評価は、組織全体で発生するアカウントロックアウトの数を減らすために役立ちます。

サインオンポリシーが[deny(拒否)]に設定されている場合、ユーザーのサインオン試行は拒否され、「Authentication failed(認証に失敗しました)」という一般的なエラーがプロンプトに表示されます。このシナリオでは、失敗したログイン数のカウンターは増加しませんが、代わりに認証前サインオンポリシーの評価を示すイベントがトリガーされます。

  • このバックエンド機能を有効にするために、管理コンソールでUIを変更したり、設定を行う必要はありません。
  • このポリシーは、JITプロビジョニングを使用するために構成された、新しく作成されたアカウントの初期認証では機能しません。このポリシーの影響を受けるには、エンドユーザーアカウントがOktaに存在している必要があります。
  • このポリシーでは、ユーザーが拒否された場所から資格情報をリセットすることは妨げません。

関連項目

Oktaサインオン・ポリシーについて

多要素認証登録ポリシーについて

パスワード・ポリシーについて

アプリサインオンポリシーについて

MFA登録ポリシーを構成する

アプリサインオンポリシーを構成する

パスワードポリシーを構成する