アプリのサインオンポリシー
アプリのサインオンポリシーは、アプリへのユーザーアクセスを許可または制限します。ポリシーを作成した上で、そのルールを構成します。アプリのサインオンポリシーを作成すると、デフォルトのルールが1つ含まれます。あらゆる認証シナリオに対応するために必要なルールをいくつでも追加できます。デフォルトのルールと、アプリへのアクセスを許可または拒否するために作成したルールを編集できます。「アプリサインオンポリシーを構成する」を参照してください。
[App Sign On Rule(アプリのサインオンルール)]ダイアログ内のすべてのクライアントオプションはデフォルトで事前選択されています。アプリへのより詳細なアクセスを構成するには、次の基準に基づいて1つ以上の優先度が設定されたルールを作成するときに、条件を選択的に適用します。
- 誰がユーザーか、またはどのグループに属しているか
- ユーザーが企業ネットワークに接続しているか、接続していないか、定義されたネットワークゾーンに属しているか
- 対象者のデバイスで実行されているクライアントのタイプ(Office 365アプリのみ)
- どのプラットフォームをユーザーのモバイルまたはデスクトップデバイスが使用するか
- 対象者のデバイスが信頼されているかどうか
User-Agentについて知っておくべき重要事項
Oktaのクライアントアクセスポリシー(CAP)を使用すると、クライアントタイプとデバイスプラットフォームに基づいて、エンタープライズアプリへのアクセスを管理できます。Okta CAPでは、ユーザーのブラウザーから送信されるUser-Agentリクエストヘッダーに含まれる情報が評価されます。User-Agentは悪意のあるアクターによってなりすまされる可能性があり、そのようなアクターはおそらく、ポリシー内で最も制限の少ないCAPルールを標的にするという点に注意してください。このような理由から、CAPルールは会社のセキュリティ・ニーズを満たすようにしてください。また、次のベストプラクティスで説明されているように、CAPを作成し、多要素認証またはDevice Trustを要求する場合は、許可リストのアプローチの使用を検討してください。
- アプリへのアクセスを許可するクライアントタイプ、デバイスプラットフォーム、および信頼状態の組み合わせを指定する、1つ以上のルールから成る許可リストを実装します。
- アプリへのアクセスに、Device Trustまたは多要素認証を要求します。
- 前述のルールでCAPのいずれにも一致しないものへのアクセスを拒否する最終的なキャッチオールルールを含めます。
MFAとレガシープロトコル
POPやIMAPなどのレガシープロトコルは、OktaサインインにMFAが構成されている場合でも、 MFAをサポートしません。
アプリへの認証の安全性を確保するため、Oktaでは以下を評価することを強くお勧めします。
- Microsoft Office 365アプリでのレガシープロトコルの使用、および必要に応じてそれらを無効にするかどうか
- セキュリティを向上させるためにMicrosoft Office 365テナントでモダン認証を有効にするかどうか