Oktaサインオンポリシー

ポリシーは、ユーザーセッションライフタイム、ログイン時の多要素認証の有無、使用できるMFA要素、パスワードの複雑さの要件、さまざまな状況下で許可するセルフサービス操作の種類、ユーザーをルートするIDプロバイダーなどの事柄に関するルールや設定を制御するためにOktaによって使用されます。ポリシーには適用されるルールがあり、特定の時間に特定のユーザーに適用できるかどうかを決定します。通常、ポリシーは多くのユーザーに適用できる大きな要素で構成されます(パスワードの最小の長さなど)。ルールにはポリシーと同様に、ルールを適用するために満たすべき条件があります。ルールは、場所や状況などの条件で構成されます(地理的な場所や、ユーザーが会社のネットワークに接続しているかどうかなど)。幅広いシナリオに対応できるように複数のポリシーを作成し、その実行順を指定して、そのポリシー内に複数のルールを作成できます。

Oktaサインオンポリシーでは、チャレンジの要求、別のチャレンジが要求されるまでの時間の設定など、アクセスの許可に関して実行されるアクションを指定できます。

Oktaは、各ポリシータイプに1つの「Default(デフォルト)」という名前のデフォルトポリシーを提供します。これは、デフォルトで新しいアプリケーションに適用される必須ポリシーか、OktaのOrgで他のポリシーが適用されないユーザーに適用されるポリシーです。これにより、すべての状況でユーザーに適用されるポリシーが常時存在することになります。

  • デフォルトのポリシーは必須で、削除できません。

  • 新しいアプリケーション(Office365、Radius、MFA以外)は、デフォルトポリシーに割り当てられます。

  • デフォルトポリシーは常に優先順位が最も低いポリシーになります。このタイプの追加されたポリシーはすべて、デフォルトポリシーより優先順位が高くなります。

  • デフォルトポリシーには常に1つのデフォルトルールがあり、これは削除できません。デフォルトルールは常に優先順位が最も低いルールになります。デフォルトポリシーにルールを追加する場合、デフォルトルールより優先順位が高くなります。

デフォルトのポリシーに加えて、すでにMFAを構成している場合にのみ存在する[Legacy(レガシー)]という名前の別のポリシーがあります。このポリシーには、サインオンポリシーを有効にしたときに設定されていたMFA設定が反映されるため、ポリシーを変更しない限りMFAの動作は変更されません。必要に応じて削除できます。

RADIUSアプリケーション用のサインオンポリシーの構成:[Security(セキュリティ)][Authentication(認証)][ Sign On(サインオン)]Admin ConsoleからOktaサインオンポリシーを作成しても、RADIUSアプリケーションには適用されません。RADIUSアプリケーションのサインオンポリシーは、常にRADIUSアプリケーションのセットアップの一部として構成する必要があります。詳細については、「アプリケーションのサインオンポリシーを追加する」を参照してください。

Oktaのポリシー評価

Oktaでは、ポリシーの条件とルールの条件が統合されて、特定のユーザーにポリシーが適用されるかどうかが判断されます。ユーザーがOktaにサインインを試みたり、ユーザーがセルフサービス操作を開始したりする際など、特定のユーザーに対してポリシーを取得する必要がある場合、ポリシーの評価が行われます。ポリシーの評価中は、適切なタイプの各ポリシーがポリシー優先度で示された順で検討されます。ポリシーに関連するすべての条件が評価されます。1つ以上の条件が満たされない場合、リスト内の次のポリシーが検討されます。条件を満たすことができた場合、ポリシーに関連するルールはルール優先度で示された順で検討されます。対象のルールに関連するすべての条件が評価されます。ルールに関連するすべての条件を満たす場合、ルールおよび関連するポリシーに含まれる設定がユーザーに適用されます。ポリシールールの条件が1つも満たされない場合、リスト内の次のポリシーが検討されます。

たとえば、「管理者」グループに割り当てるポリシーを作成する場合は、管理者のニーズに合わせた特有の条件を作成します。ポリシーには、パスワードのハッキングを制限するために12文字以上を含める必要があります。ポリシーに適用するルールには、特定の条件下でのみセルフサービスのロック解除を許可するルールなどがあります。その他の条件の例としては、特定の管理者が企業ネットワークの内外からサインインしているかどうかなどがあります。

ヒント:

  • ルールが含まれていないポリシーは正常に適用できません。そのポリシーにルールが存在しないことを示す警告が表示されます。
  • 制限の多いルールが[優先度]リストの一番上に配置されます。
  • 「全員」が一番上にある場合、特別な条件は適用されず、ポリシー評価は必要ありません。複数のルールが存在し、最初のルールの条件が満たされない場合、Oktaによってそのルールがスキップされ、次のルールが評価されます。
  • リスクの高いイベントや動作に対しては、[Prompt for Factor(要素を求める)]要件を[Every time(毎回)]に設定します。
  • [Per device(デバイスごと)]および[Per session(セッションごと)]オプションでは、ユーザーグループのMFAが減ります。MFAのバイパスをユーザーに許可するため、低リスク、低保証のユースケースのみに適切です。

MFA要素とサインオンポリシー

[多要素]ページから少なくとも1つの要素を選択しない限り、[Prompt for Factor(要素のプロンプト)]チェックボックスはアクティブになりません。

ページにアクセスして1つ以上の要素を選択するには、[Security(セキュリティ)][Multifactor(多要素)]に移動します。

特定の要素がポリシーで指定されている場合、その要素は必要とされるすべてのポリシーから削除されるまで削除できません。OrgでMFAが有効になっている場合、少なくとも1つの要素を指定する必要があります。要素が指定されていない場合、[Multifactor(多要素)]ページにエラーメッセージが表示されます。

関連項目

Oktaサインオンポリシーを構成する

多要素認証登録ポリシー

パスワードポリシー

アプリのサインオンポリシー

MFA登録ポリシーを構成する

アプリサインオンポリシーを構成する

パスワードポリシーを構成する