Okta Admin ConsoleのMFAを有効にする

Admin Consoleにアクセスする際にMFAを必須にします。必要な要素を管理者が登録していなかった場合、Admin Consoleへのアクセスを試みると要素の登録が求められます。

開始する前に

org向けに少なくとも2つの要素を有効にします。「多要素認証について」を参照してください。Oktaでは、FIDO2(WebAuthn)Authenticatorのようなフィッシング耐性のあるAuthenticatorを少なくとも1つ有効化することをお勧めします。

ポリシーでMFAを有効にする

  1. Admin Console[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  2. Okta Admin Consoleアプリを開きます。
  3. [Sign On(サインオン)]タブで[Admin App Policy(管理者アプリポリシー)]ルールを[Edit(編集)]モードで開きます。
  4. [アプリサインオンルール]ページで[Disable rule(ルールを無効化)]チェックボックスが選択されていないことを確認します。 このチェックボックスを選択すると、管理者のMFAは無効になります。
  5. [Actions(アクション)]セクションで[Prompt for factor(要素を求める)]を選択し、頻度を選択します。[every sign on(サインオンのたび)]に求めることをお勧めします。
  6. [Save(保存)]をクリックします。

Admin ConsoleへのアクセスにMFAを強制適用する

この機能は、Admin Consoleにアクセスする際にMFAを必須にします。単一要素でAdmin Consoleを保護する認証ポリシールールを自動的に2要素に更新します。この機能では、新しいルールも2要素にする必要があります。

この機能を有効にするには、セットアップ前に次の操作を行う必要があります。

  • MFAに必要なAuthenticatorがあることを確認する。
  • 管理者が認証要件を満たせるように、MFA登録ポリシーで十分な要素が有効になっていることを確認する。
  • すべての管理者が2つ以上の要素に登録されていることを確認する。

この機能を無効にしても、2要素に更新されたポリシーが自動的に単一要素に戻ることはありません。

Admin Consoleの認証フロー

アクティブなセッションがあり、MFAが有効になっている場合、他のOktaファーストパーティアプリからAdmin Consoleに切り替えたときにセッションが維持されます。これには、直接URLからAdmin Consoleにアクセスする場合や、End-User Dashboardの[Admin(管理者)]ボタンを使用する場合が含まれます。認証動作の例については、次のシナリオを参照してください。

シナリオ

動作
アクティブなセッションが存在する場合に、Admin Consoleに移動する。 MFAプロンプトなしで、すぐにAdmin Consoleにリダイレクトされます。
カスタムドメインを使用して、異なるユーザーとして複数のAdmin Consoleセッションを開く。 アクティブセッションとは異なるユーザーとしてサインインを試みると、アクティブセッションユーザーにリダイレクトされます。Admin Consoleでは、ブラウザーごとに1つのアクティブセッションのみが許可されます。
End-User DashboardからAdmin Consoleにサインインする。 ポリシーに従ってAdmin Consoleにサインインしています。