Admin ConsoleのMFAを有効にする
Admin Consoleにアクセスする際にMFAを必須にします。必要な要素を管理者が登録していなかった場合、Admin Consoleへのアクセスを試みると要素の登録が求められます。
開始する前の確認事項
org向けに少なくとも2つの要素を有効にします。多要素認証についてを参照してください。Oktaでは、FIDO2(WebAuthn)Authenticatorのようなフィッシング耐性のあるAuthenticatorを少なくとも1つ有効化することをお勧めします。
ポリシーでMFAを有効にする
-
Admin Consoleで、に移動します。
- Okta Admin Console アプリを開きます。
- サインオン(Sign On)タブで管理者アプリポリシー(Admin App Policy)ルールを編集(Edit)モードで開きます。
- アプリサインオンルール(App Sign On Rule)ページでルールを無効化(Disable rule)チェックボックスが選択されていないことを確認します。このチェックボックスを選択すると、管理者のMFAは無効になります。
- アクション(Actions)セクションで要素を求める(Prompt for factor)を選択し、頻度を選択します。Oktaでは、サインオンのたび(every sign on)に求めることをお勧めします。
- 保存(Save)をクリックします。
Admin ConsoleへのアクセスにMFAを強制適用する
この機能は、Admin Consoleにアクセスする際にMFAを必須にします。単一要素でAdmin Consoleを保護する認証ポリシールールを自動的に2要素に更新します。この機能では、新しいルールも2要素にする必要があります。
この機能を有効にするには、セットアップ前に次の操作を行う必要があります。
- MFAに必要なAuthenticatorがあることを確認する。
- 管理者が認証要件を満たせるように、MFA登録ポリシーで十分な要素が有効になっていることを確認する。
- すべての管理者が2つ以上の要素に登録されていることを確認する。
注:
この機能を無効にしても、2要素に更新されたポリシーが自動的に単一要素に戻ることはありません。
Admin Consoleの認証フロー
アクティブなセッションがあり、MFAが有効になっている場合、他のOktaファーストパーティアプリからAdmin Consoleに切り替えたときにセッションが維持されます。これには、直接URLからAdmin Consoleにアクセスする場合や、End-User Dashboardの管理者(Admin)ボタンを使用する場合が含まれます。認証動作の例については、次のシナリオを参照してください。
|
シナリオ |
動作 |
|---|---|
| アクティブなセッションが存在する場合に、Admin Consoleに移動する。 | MFAプロンプトなしで、すぐにAdmin Consoleにリダイレクトされます。 |
| カスタムドメインを使用して、異なるユーザーとして複数のAdmin Consoleセッションを開く。 | アクティブセッションとは異なるユーザーとしてサインインを試みると、アクティブセッションユーザーにリダイレクトされます。Admin Consoleでは、ブラウザーごとに1つのアクティブセッションのみが許可されます。 |
| End-User DashboardからAdmin Consoleにサインインする。 | ポリシーに従ってAdmin Consoleにサインインしています。 |