資格情報侵害保護を構成する
資格情報侵害保護は、パスワードポリシーのセキュリティ設定です。これを使用して、org内のユーザー資格情報が侵害された場合のOktaの応答方法を構成します。デフォルトでは、Oktaは資格情報を期限切れにし、Oktaセッションを終了して、次回のサインイン時ユーザーにパスワードのリセットを求めます。
資格情報侵害保護のデフォルト設定はすべてのパスワードポリシーに適用されるため、変更する各ポリシーを更新する必要があります。
ADをソースとするユーザーが侵害されたパスワードの入力後に自分のパスワードをリセットするには、セルフサービスでのパスワードリセットをorgで有効にする必要があります。Oktaサービスアカウントの権限を参照してください。ADエージェントにユーザーのパスワード設定を変更する権限があることを確認します。必要なアカウントを参照してください。
開始する前の確認事項
この機能の意図する防御メカニズムを保護し、アカウント乗っ取り(ATO)のリスクを低減するために、パスワード変更フローの安全な構成が必要です。Identity Engine orgは、Okta Account Managementポリシーのパスワード有効期限ルールによってパスワード変更フローを保護できます。Classic Engine orgは、パスワード変更フロー中にパスワードポリシーがMFAを強制適用することを確認する必要があります。
パスワードポリシー設定を構成する
-
Admin Consoleでに移動します。
-
パスワード(Password)タブで、編集するパスワードポリシーを選択します。
- パスワードセキュリティ(Password Security)セクションで、レスポンスを選択します。
- この日数が経過したら、パスワードを期限切れにする([Expire the password after this many days):ユーザーは、最長10日間まで侵害された資格情報を使用してサインインできます。デフォルトは「0」で、パスワードは直ちに期限切れになります。
- すぐにOktaからユーザーをログアウトする(Log out user from Okta immediately):ユーザーはすべてのOktaセッションからすぐにログアウトされます。デフォルトの期限設定「0」で使用する場合、ユーザーは再度サインインする前に新しいパスワードを設定する必要があります。
- Workflowsを使用してカスタムアクションを実行する(Take custom actions using Workflows):レスポンスをカスタマイズするための委任ワークフローを選択します。
- ポリシーを更新(Update Policy)をクリックします。
Workflowsを使用してカスタムアクションを実行する(Take custom actions using Workflows)応答ではなくAPIまたはヘルパーフローを使用する場合は、「 Okta Workflowsテンプレート:パスワード侵害イベントの通知を送信」を参照してください。
次の手順