ファーストパーティーアプリの認証ポリシーを変更する
すべてのorgには、 Okta Admin Console、Okta End-User Dashboard、Okta Browser Pluginという、変更可能なプリセットポリシーを含むファーストパーティーアプリがあります。
-
Okta End-User DashboardまたはOkta Browser Pluginのポリシーを共有するには、「認証ポリシーにアプリを追加する」を参照してください。Admin Consoleのポリシーの共有または切り替えはできません。
-
Oktaアプリポリシーにルールを追加するには、「認証ポリシールールを追加する」を参照してください。
-
Oktaアプリポリシーを編集するには、「認証ポリシーをアップデートする」を参照してください。または、次の一般的なユースケースを参照してください。
Admin Consoleの再認証頻度を構成する
Admin Consoleのポリシーを編集する一般的なユースケースは、管理者がOkta Admin ConsoleにアクセスするたびにMFAを使用して再認証する必要がある、より制限の厳しいポリシーを作成することです。デフォルトでは、このポリシーでは管理者にMFAが要求されますが、グローバルセッションポリシーですでにMFAが要求されている場合、管理者に2回目のプロンプトは表示されません。
Okta Admin Consoleで毎回再認証することを推奨します。
-
Admin Consoleで、 に移動します。
-
Okta Admin Consoleアプリを選択します。
-
[Rules(ルール)]タブで、[Add Rule(ルールを追加)]をクリックします。
-
[Rule Name(ルール名)]を入力します(MFA once per dayなど)。
-
次のルール条件を設定します。
-
[IF]セクションで、[The following users and groups(次のユーザーとグループ)]を選択し、[Admin(管理者)]グループを追加します。
-
このルールをゾーンまたはデバイスで制限する場合は、[Location(ロケーション)]フィールドと[Client(クライアント)]フィールドを変更します。
-
[Access(アクセス)]セクションで、[prompt for factor(要素を求める)]を選択し、頻度を選択します。
-
-
[Save(保存)]をクリックします。
-
[Sign On(サインオン)]タブで、新しいルールの優先度が最も高いことを検証します。
Admin Consoleセッションライフタイムを構成する
早期アクセスリリース
この構成はOkta Admin Consoleにのみ影響します。その他のOktaアプリケーション
(Okta Workflows、Okta Access Gateway、Advanced Server Accessなど)の管理セッションは影響を受けません。
Okta Admin Consoleのセッションライフタイムとアイドル時間を設定できます。これらの設定は、グローバルセッションポリシーので構成された設定とは無関係です。「グローバルセッションポリシールールを追加する」を参照してください。
-
Admin Consoleで、 に移動します。
-
[Okta Admin Console]をクリックします。
-
[Sign On(サインオン)]タブで、[Okta Admin Console session(Okta Admin Consoleセッション)]セクションの[Edit(編集)]をクリックします。
-
[Maximum app session lifetime(アプリセッションの最大ライフタイム)]を時間または分で設定します。
アメリカ国立標準技術研究所(NIST)のガイダンスに基づいて12時間に設定することを推奨します。最大許容時間は24時間で、最小許容時間は1分です。
セッションの最大ライフタイムは構成されているアイドル時間以上でなければなりません。
-
[Maximum app session lifetime(アプリセッションの最大アイドル時間)]を時間または分で設定します。
アメリカ国立標準技術研究所(NIST)のガイダンスに基づいて15分に設定することを推奨します。最大許容時間は2時間で、最小許容時間は1分です。
10分を超える設定の場合は、タイムアウトしてから5分以内に時間をリセットするためのリンクがあるポップアップが表示されます。10分以下の設定の場合は、タイムアウトしてから30秒以内にポップアップが表示されます。
アイドル時間の期限は、Admin Console内での操作に基づいてリセットされます。
-
[Save(保存)]をクリックします。
特定のグループのOkta Dashboardを無効にする
Okta Dashboardポリシーを編集する一般的なユースケースは、別のダッシュボードまたはアプリケーションを使用するorg内のユーザーのアクセスを無効にすることです。
-
Admin Consoleで、 に移動します。
-
Okta End-User Dashboardアプリを選択します。
-
[Rules(ルール)]タブで、[Add Rule(ルールを追加)]をクリックします。
-
Rule Name(ルール名)を入力します(Disable Access to Dashboard for Groupsなど)。
-
次のルール条件を設定します。
-
IFセクションで、新しいルールの対象となるユーザーを指定します。
-
THENセクションで、[Access is(アクセスの可否)]オプションを[Denied(拒否)]に設定します。
-
関連項目