パスワードポリシー
管理者はパスワードポリシーを使用して、グループおよび認証プロバイダーレベルでパスワード設定を強制的に適用できます。Oktaでは、強力なパスワードの使用を適用して、組織の資産をより適切に保護するためのデフォルトポリシーが提供されています。制限がより強い/弱いポリシーを作成し、グループメンバーシップに基づいてそれをユーザーに適用することもできます。
グループパスワードポリシーがすべてのorgで有効になりました。
- [Authentication(認証)]ページの[Password(パスワード)]タブには、すべてのグループパスワードポリシーが表示されます。最初はデフォルトポリシーとデフォルトルールのみが表示されます。
-
グループパスワードポリシーがこれまで有効でなかった場合 、[Password(パスワード)]タブにレガシーポリシーと新しいデフォルトポリシーが表示されます。レガシーポリシーには、グループパスワードポリシーの有効化時に存在したorg設定が反映され、レガシールールと追加のデフォルトルールが含まれています。
- グループパスワードポリシーが有効な場合、[People(ユーザー)]ページの[Password Expired count for users(ユーザーのパスワードの有効期限切れカウント)]は表示されません。「すべてのユーザーパスワードを期限切れにする」を参照してください。
デフォルトルールは編集できません。
グループパスワードポリシーを使用する
グループパスワードポリシーでは、次のことが可能です。
- パスワードポリシーと、グループおよび認証プロバイダーレベルでパスワード設定を強制する関連ルールを定義する。
- 制限の多いルールや制限の少ないルールを使用して複数のポリシーを作成し、異なるグループに適用する。
- 強力なパスワードの使用を強制的に適用して組織の資産をより適切に保護するためのポリシーを使用する。
ユーザーのOktaパスワードがパスワードポリシーの要件を満たすが、パスワードポリシー自体が要件を満たしていない場合、プロビジョニング時にエラーが発生する可能性があります。Oktaパスワードポリシーが、アプリケーションの要件(通常は8文字以上の大文字/小文字と記号または数値)を満たしていることを確認します。
Active Directory(AD)およびLDAPをソースとするユーザー
グループパスワードポリシーは、OktaとActive Directory(AD)およびLDAPをソースとするユーザーにのみ適用されます。
- ADおよびLDAPをソースとするユーザーの場合、ADおよびLDAPのパスワードポリシーが、Oktaのポリシーと競合しないことを確認します。ADおよびLDAPをソースとするユーザーのパスワードは、ディレクトリサービスによって管理されます。Microsoft Office 365やGoogle G Suiteなどの一部のアプリケーションでは、ユーザーのプロビジョニング時にOktaパスワードポリシーがチェックされ、Oktaポリシーがアプリケーションのパスワード要件を満たしていることが確認されます。
- LDAPグループパスワードポリシー機能を無効にしたときに、以前のグループパスワードポリシーオプションは保持されません。
- LDAPグループパスワードポリシーが有効になっている場合、カスタムパスワードポリシーメッセージは使用できず、以前のパスワードポリシーメッセージは適用されません。
- LDAP委任認証が無効になっている場合、LDAPグループパスワードポリシーはLDAPをソースとするユーザーには適用されなくなります。
デフォルトのパスワードポリシーは、ユーザーの作成時に適用されます。ユーザーの作成時にパスワードポリシーのグループ割り当ては評価されません。
パスワードポリシーの評価
パスワードポリシーは、以下の基準を使用して評価されます。
- パスワードの設定時に、複雑さの要件が評価されます。
- パスワードが期限切れでない限り、現在のポリシーとユーザーが自分のパスワードを最後に設定した日時が評価されます。期限切れのパスワードは期限切れのまま残されます。
- ADおよびLDAPをソースとするユーザーの場合、ADおよびLDAPの複雑さの要件が、ADおよびLDAPのインスタンスと一致する必要があります。
すべてのADおよびLDAPのパスワードポリシーが、ポリシーと競合しないことを確認します。
パスワードポリシーのタイプ
パスワードポリシーには4つのタイプがあります。
デフォルトポリシー |
別のポリシーが適用されない限り、Oktaをソースとするすべてのユーザーがデフォルトポリシーに従います。デフォルトポリシーは無効化または削除できず、ポリシーリスト内でのランクは常に最も低くなります。 |
レガシーポリシー |
以前のバージョンのプラットフォームでは、パスワードポリシー設定は ページにありました。グループパスワードポリシーが有効になる前に作成されたorgの場合、レガシーポリシーと関連するレガシールールが保持されます。orgの既存のパスワードポリシー設定が旧ポリシーにコピーされます。すべての旧ポリシーとルール設定は構成可能です。 |
Active Directoryポリシー |
現在1つ以上のActive Directory(AD)統合がある場合、ADポリシーが自動的に作成されます。このポリシーの要素とそのルールをカスタマイズできます。 |
LDAPポリシー |
現在1つ以上のLDAP統合がある場合、LDAPポリシーが自動的に作成されます。このポリシーの要素とそのルールをカスタマイズできます。 |
パスワードの複雑さの要件
複雑なパスワードを使用すると、ユーザーのアカウントのセキュリティが向上します。パスワードの複雑さの要件を構成する際は、以下の情報を考慮してください。
- ADをソースとするユーザーの場合、ADがこれらの要件を設定して強制適用します。Oktaの設定が強制適用をトリガーすることはありません。そのため、これらの設定がADの最小設定と同じであることを確認してください。
- LDAPをソースとするユーザーの場合、LDAPがこれらの要件を設定して強制適用します。Oktaの設定が強制適用をトリガーすることはありません。そのため、これらの設定がLDAPの最小設定と同じであることを確認してください。
-
ADとLDAPをソースとしないユーザーの場合:
[Does not contain part of username(ユーザー名の一部を含まない)]:この要件は、区切り文字(.、,、-、_、#、@)に基づいて、ログインIDの一部が含まれるパスワードを拒否します。たとえば、このオプションを選択すると、ログインIDがjohn.smith@okta.comの場合、john、smith、oktaが含まれるパスワードは拒否されます。
- non AD and LDAP-sourced users(ADおよびLDAPをソースとしないユーザー)の場合、[Does not contain first name(名を含まない)]または [Does not contain last name(姓を含まない)]のオプションを選択すると、ユーザーの名または姓の全体が除外されます。両方のオプションを有効にすると、パスワードに名も姓も含ることができなくなります。このオプションは大文字/小文字を区別せず、3文字以上の名前にのみ適用されます。