パスワードポリシーを構成する
管理者はパスワードポリシーを使用して、パスワードポリシーと、グループおよび認証プロバイダーレベルでパスワード設定を強制する関連ルールを定義できます。Oktaでは、強力なパスワードの使用を適用して組織の資産をより適切に保護するために、デフォルトポリシーが提供されます。管理者は、デフォルトポリシーより制限の緩い(または厳しい)別のポリシーを作成し、それをグループメンバーシップに基づいてユーザーに適用することもできます。
Lightweight Directory Access Protocol (LDAP)サーバーのパスワードポリシーでユーザーによるパスワードの変更が許可されていない場合、LDAPをソースとするユーザーによるパスワードリセット要求が失敗することがあります。パスワードのリセットに失敗した場合、Okta LDAPエージェントのログにLDAPエラーコードが提供されます。ユーザーによるパスワードの変更を許可するパスワードポリシーを作成するには、ベンダーが提供するLDAPサーバーのマニュアルを参照してください。
管理者がLDAPをソースとするユーザー向けに一時パスワードを作成する場合、ユーザーは、LDAPサーバーのパスワードポリシーで要求または許可されているなら次回のサインイン時にパスワードを変更しなければなりません。一時パスワードをサポートするパスワードポリシーを作成するには、ベンダーが提供するLDAPサーバーのマニュアルを参照してください。
パスワードポリシーを作成する
- Admin Consoleで に進みます。
- [Password(パスワード)]タブをクリックし、[Add New Password Policy(新しいパスワードポリシーを追加)]をクリックします。
- 以下のフィールドに入力します。
- Policy name(ポリシー名):ポリシーの一意の名前を入力します。
- Policy description(ポリシーの説明):ポリシーの説明を入力します。
- Add group(グループを追加):ポリシーを適用するグループの名前を入力します。
- [認証プロバイダー]セクションで、ユーザーデータの主なソースを選択します。
- Okta:Oktaパスワードポリシーを作成します。
- Active Directory :Active Directory(AD)パスワードポリシーを作成します。
- LDAP:LDAPパスワードポリシーを作成します。
- [パスワードの設定]セクションの次のフィールドに入力します。
- Minimum length(最小の長さ) :パスワードの最小文字数として4~30を入力します(デフォルトは8文字)。 Active Directory(AD)およびLightweight Directory Access Protocol(LDAP)をソースとするユーザーの場合、これらの要件はADおよびLDAPによって設定および適用されます。ここでの設定がADおよびLDAPの最小設定と同じであることを確認します。Oktaは最大72文字まで保存します。
- Complexity requirements(複雑さの要件) :オプションを選択して、ユーザーパスワードに要求される複雑さのレベルを定義します。
- Common password check(よく使われるパスワードのチェック) :[Restrict use of common passwords(よく使われるパスワードの使用を制限する)] を選択して、一般的で弱いパスワードの使用を防止します。
- Password age(パスワードの有効期間):次のオプションを選択します。
- Enforce password history for last(最後のパスワード履歴を記録):ユーザーによって異なるパスワードが何個作成されたら以前のパスワードの再利用を可能にするかを指定します。これにより、ユーザーは指定された期間、以前のパスワードを再利用できなくなります。この設定は、1〜30個のパスワードで構成できます。
- Minimum password age is(パスワードの変更禁止期間) :パスワードの変更に必要な最小時間間隔を入力します。この設定により、ユーザーはパスワード履歴の記録の要件を回避できなくなります。この設定は、最大で9,999分に構成できます。
- Password expires after(次の経過後にパスワードの有効期限が切れます) :パスワードの変更が必要になるまでの有効期間の日数を入力します。ユーザーのパスワードの有効期限が切れた場合、Oktaにサインインするにはパスワードを変更する必要があります。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。
- Prompt user(ユーザーにプロンプトを表示):パスワードの有効期限の何日前にパスワードの変更をユーザーに求めるかを入力します。ユーザーはプロンプトが表示されたときにパスワードを変更するか、有効期限まで待つことができます。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。
[Password expires after(パスワードの有効期限)]設定は表示されません。有効期限は異なる場合があり、ADとLDAPからインポートされます。
: - Lock out(ロックアウト):
次のオプションを選択します。
- Lock out user after(次の経過後にユーザーはロックアウトされます) :アカウントがロックアウトされるまでに無効なパスワードを入力してログインを試行できる回数を入力します。無効なログインの最大試行回数は100回です。「ロックアウトについて」を参照してください。
- Account is automatically unlocked after(次の経過後にアカウントは自動的にロック解除されます) :ロックされたアカウントが自動的にロック解除されるまでの分数を入力します。自動ロック解除には追加のユーザーアクションは必要ありません。最小設定は1分です。この設定は、最大で9,999分に構成できます。デフォルトでは有効化されていません。
- Show lock out failures(ロックアウトのエラーを表示):ログイン試行の失敗回数が多すぎるためにアカウントからロックアウトされた場合に、エンドユーザーに警告します。
- Send a lockout email to user(ユーザーにロックアウトメールを送信):サインイン試行の失敗回数が多すぎるためにアカウントがロックされた場合に、ユーザーにメールを送信します。Account Locked(アカウントロック)メールは、 でカスタマイズできます。メールにリンクを挿入して、ユーザーが自分のアカウントをロック解除できるようにすることもできます。リンクを有効にするには、適切なメールを開き、[The user can perform self-service account unlock(ユーザーがセルフサービスロック解除を実行可能)]を選択します。
- Unlock(ロック解除):認証プロバイダーとしてActive Directoryを選択した場合、次のオプションを選択できます。
- OktaとActive Directoryのユーザーをロック解除:ADとOktaのユーザーアカウントをロック解除します。
- Oktaユーザーのみロック解除:Oktaのユーザーアカウントをロック解除します。
- [Account Recovery(アカウントの復元)]セクションで以下のフィールドに入力します。
- Self-service recovery options(セルフサービス復旧オプション):次のオプションを選択します。
- SMS:パスワードを忘れたユーザーに、パスワードリセットコードが含まれるテキストメッセージを送信します。電話番号を入力するか、[Remind me later(後で通知)]をクリックして翌月1日以降のサインイン時にリマインダーを受け取ることができます。
- Voice Call(通話) :パスワードを忘れたユーザーに、パスワードリセットコードを音声で送信します。
Email(メール) :パスワードを忘れたユーザーに、パスワードリセットコードが記載されたメールを送信します。
- Reset/Unlock recovery emails are valid for(リセット/ロック解除の復旧メールは次に対して有効です):復旧リンクの有効期間を分数、時間数、または日数として入力します。このフィールドで使用できる値は次のとおりです。
- 60~300,000分
- 1~5,000時間
- 1~208日
SMSでパスワードのリセットを実行するには、秘密の質問が必要です。早期アクセス機能を使用すると、パスワード復元フローから秘密の質問を省略できます。これはOktaとADをソースとするユーザーにのみ適用されます。有効にする場合は、Oktaサポートにお問い合わせください。
- Password recovery question complexity(パスワード復旧用の質問の複雑さ):秘密の質問の回答で必要とされる最小文字数を入力します。
パスワード復旧質問の答えを5回間違えると、ユーザーアカウントはロックされます。
- Self-service recovery options(セルフサービス復旧オプション):次のオプションを選択します。
- [Create Policy(ポリシーを作成)]をクリックします。
パスワードポリシールールを作成する
- 任意。Admin Consoleで に進みます。
- [Password(パスワード)]タブをクリックします。
- [Add Rule(ルールを追加)]をクリックします。
- 次のフィールドに情報を入力します。
- Rule Name(ルール名):ルールの名前を入力します。
- Exclude Users(ユーザーを除外):ルールから除外するユーザーの名前を入力します。入力を開始すると、テキストに一致するユーザー名の候補が表示されます。 リストから目的のユーザーを選択します。除外するユーザーごとにこれを繰り返します。
- IF User's IP is(ユーザーのIPが次の場合):
- Anywhere(任意の場所):IPアドレスがパブリックゲートウェイIPリストに載っているかどうかに関わらずすべてのユーザーにルールを適用します。
- In zone(ゾーン内):すべてのゾーン、または特定のゾーンのユーザーにルールを適用します。[All Zones(すべてのゾーン)]チェックボックスを選択して、[Zones(ゾーン)]フィールドに特定のゾーンを入力します。
- Not in zone(ゾーン外):すべてのゾーン、または特定のゾーンのユーザーを除外してルールを適用します。[All Zones(すべてのゾーン)]チェックボックスを選択して、[Zones(ゾーン)]フィールドに特定のゾーンを入力します。
パブリックゲートウェイIPリストとIPゾーンの機能の詳細については、「ネットワークゾーン」を参照してください。
- THEN User can(設定後にユーザーができること):
- change password(パスワード変更):ユーザーがパスワードを変更することを許可し、[perform self-service password reset(セルフサービスによるパスワードのリセットを行う)]オプションを利用できるようにします。
- [perform self-service password reset(セルフサービスによるパスワードのリセットを行う)]:サインインできない、またはパスワードを忘れたユーザーがセルフサービスパスワードリセットを行えるようにし、Sign-In Widget に[Forgot password?(パスワードを忘れた場合)]を表示します。
- perform self-service account unlock(セルフサービスによるアカウントのロック解除を実行):ユーザーがSign-In Widget の[Unlock account?(アカウントのロック解除)]をクリックして自分のアカウントのロックを解除できるようにします。LDAPをソースとするOktaユーザーアカウントに対してセルフサービスのロック解除オプションを選択すると、Oktaでユーザーアカウントをロック解除しても、オンプレミスLDAPインスタンスではロックされたままになります。セルフサービスによるロック解除を許可しない場合は、「ユーザーパスワードをリセットする」を参照してください。
- [Create Rule(ルールを作成)]をクリックします。
ロックアウトについて
AD/LDAPソフトロック
Oktaには、ADおよびLDAPをソースとするユーザーが、Oktaサインイン試行の失敗回数が多すぎるためにWindowsアカウントおよびハードウェアデバイスからロックアウトされることを防ぐ機能があります。この機能は、悪意のある第三者がOktaを使用してユーザーをロックアウトすることを防ぐためにも役立ちます。
Active DirectoryおよびLDAPのロックアウトを防ぐために、Oktaで設定されたサインイン制限を超えた場合、それ以後に失敗した試行はADまたはLDAPに送信されません。これにより、ユーザーが自分のWindowsアカウントからロックアウトされることを防ぐことができます。ADでは、ロックアウトされたOktaユーザーはセルフサービスによるアカウントのロック解除を使用するか、Okta管理者にサポートを求めることができます。ロックされたLDAPソースアカウントをロック解除できるのは、管理者だけです。
に入力した数が、ADおよびLDAPで構成されたサインイン試行の失敗の制限よりも小さいことを確認してください。たとえば、ADおよびLDAPでWindowsサインイン試行の最大失敗回数が10回に設定されているときは、サインインの最大失敗回数を9回に設定することをお勧めします。ユーザーが不明なデバイスによるロックアウトの検知
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
またOktaでは、OktaをソースとするユーザーがOktaサインイン試行の失敗を重ねることが原因でOktaアカウントからロックアウトされることも防止されます。この機能により、不明なデバイスからの不審なサインイン試行をブロックできます。
Oktaは、サインイン試行が既知のデバイスからのものか、不明なデバイスからのものかを検出できます。既知のデバイスとは、以前にOktaへのサインインに使用されたことがあるデバイスです。不明なデバイスとは、Oktaへのサインインに使用されたことがないデバイスです。
失敗したサインイン試行が不明なデバイスによるものであるとOktaが判断した場合、不明なデバイスからの新たなサインイン試行はロックされます。Oktaは、既知のデバイスからのサインインはユーザーに許可します。これにより、Oktaユーザーのアカウントへのアクセスが不正なパーティによって妨害されないようにし、アカウントの保護を高められます。
不明なデバイスによる最小ロックアウト時間は2時間です。ロックアウト中に新しいデバイスからサインインする必要がある正当なユーザーの場合、Oktaはセルフサービスによるアカウントロック解除フローを開始します(org管理者が機能を有効にしている場合)。ユーザーがアカウントのロックを解除すると、新しいデバイスからサインインできるようになります。
この機能をアクティブ化する上で、管理者が何らかの設定を構成する必要はありません。
既知の制限
管理者は、不明なデバイスが原因でロックアウトされたユーザーアカウントをAdmin Consoleで確認できず、アカウントのロックを解除することもできません。デバイスを紛失したユーザーが新しいデバイスを使用できるように、セルフサービスによるアカウントロック解除機能を管理者が有効化することをお勧めします。これにより、ユーザーはロックアウト時間が経過するのを待たずにアカウントにアクセスできるようになります。「セルフサービス復旧オプション」を参照してください。