パスワードポリシーを構成する

管理者はパスワードポリシーを使用して、パスワードポリシーと、グループおよび認証プロバイダーレベルでパスワード設定を強制する関連ルールを定義できます。

Oktaでは、強力なパスワードの使用を適用して、組織の資産をより適切に保護するデフォルトポリシーが提供されています。デフォルトポリシーより制限の緩い(または厳しい)別のポリシーを作成し、それをグループメンバーシップに基づいてユーザーに適用することもできます。

Lightweight Directory Access Protocol (LDAP)サーバーのパスワードポリシーでユーザーによるパスワードの変更が許可されていない場合、LDAPをソースとするユーザーによるパスワードリセット要求が失敗することがあります。パスワードのリセットに失敗した場合、Okta LDAP AgentのログにLDAPエラーコードが提供されます。ユーザーによるパスワードの変更を許可するパスワードポリシーを作成するには、ベンダーが提供するLDAPサーバーのマニュアルを参照してください。

管理者から一時パスワードを受け取った後、LDAPをソースとするユーザーは、LDAPサーバーのパスワードポリシーで要求または許可されているなら次回のサインイン時にパスワードを変更しなければなりません。一時パスワードをサポートするパスワードポリシーを作成するには、ベンダーが提供するLDAPサーバーのマニュアルを参照してください。

パスワードポリシーを作成する

  1. Admin Consoleセキュリティ(Security) > 認証(Authentication)に移動します。
  2. パスワード(Password)タブをクリックし、新しいパスワードポリシーを追加(Add New Password Policy)をクリックします。
  3. 以下のフィールドに入力します。
    • ポリシー名(Policy name):ポリシーの一意の名前を入力します。
    • ポリシーの説明(Policy description):ポリシーの説明を入力します。
    • グループを追加(Add group):ポリシーを適用するグループの名前を入力します。
  4. 認証プロバイダー(Authentication Providers)セクションで、ユーザーデータの主なソースを選択します。
    • Okta :Oktaパスワードポリシーを作成します。
    • Active Directory :Active Directory(AD)パスワードポリシーを作成します。
    • LDAP:LDAPパスワードポリシーを作成します。
  5. パスワードの設定(Password Settings)セクションの以下のフィールドに入力します。
    • 最小の長さ(Minimum length) :パスワードの最小文字数として4~30を入力します(デフォルトは8文字)。Active Directory(AD)やLDAPソースのユーザーについては、ADやLDAPがこれらの要件を設定して適用します。ここでの設定がADやLDAPの最小設定と同じであることを確認してください。Oktaは最大72文字まで保存します。
    • 複雑さの要件(Complexity requirements) :オプションを選択して、ユーザーパスワードに要求される複雑さのレベルを定義します。
    • よく使われるパスワードのチェック(Common password check) よく使われるパスワードの使用を制限する(Restrict use of common passwords) を選択して、一般的で弱いパスワードの使用を防止します。
    • 侵害されたパスワードの保護:orgのユーザー資格情報が侵害された場合に、Oktaがどのように対応するかを構成します。この機能は、LDAP認証プロバイダーに使用されるパスワードポリシーでは使用できません。
      • この日数が経過したら、パスワードを期限切れにする(Expire the password after this many days):ユーザーは、指定された日数の間、侵害された認証情報を使用してサインインできます。
      • すぐにOktaからユーザーをログアウトする(Log out user from Okta immediately):ユーザーはすべてのOktaセッションからすぐにログアウトされます。デフォルトの期限設定「0」で使用する場合、ユーザーは再度サインインする前に新しいパスワードを設定する必要があります。
      • Workflowsを使用してカスタムアクションを実行する(Take custom actions using Workflows):資格情報が侵害された場合にユーザーに通知するには、 Okta Workflowsテンプレート:パスワード侵害イベントの通知を送信ワークフローを使用します。または、委任ワークフローを使用してレスポンスをカスタマイズします。
    • パスワードの有効期間(Password age):次のオプションを選択します。
      • 最後のパスワード履歴を記録(Enforce password history for last):ユーザーによって異なるパスワードが何個作成されたら以前のパスワードの再利用を可能にするかを指定します。これにより、ユーザーは指定された期間、以前のパスワードを再利用できなくなります。この設定は、1〜30個のパスワードで構成できます。
      • パスワードの変更禁止期間(Minimum password age is) :パスワードの変更に必要な最小の時間間隔を入力します。この設定により、ユーザーはパスワード履歴の強制適用(Enforce password history for last)の要件を迂回できなくなります。この設定は、最大で9,999分に構成できます。
      • 次の経過後にパスワードの有効期限が切れます(Password expires after) :パスワードの変更が必要になるまでの有効期間の日数を入力します。ユーザーのパスワードの有効期限が切れた場合、Oktaにサインインするにはパスワードを変更する必要があります。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。

        AD > およびLDAP > をソースとするユーザーの場合パスワードの有効期限(Password expires after)設定は表示されません。有効期限は異なる場合があり、ADとLDAPからインポートされます。

      • ユーザーにプロンプトを表示(Prompt user):パスワードの有効期限の何日前にパスワードの変更をユーザーに求めるかを入力します。ユーザーはプロンプトが表示されたときにパスワードを変更するか、有効期限まで待つことができます。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。
    • ロックアウト(Lock out)

      次のオプションを選択します。

      • 次の経過後にユーザーはロックアウトされます(Lock out user after) :アカウントがロックアウトされるまでに無効なパスワードを入力してログインを試行できる回数を入力します。無効なログインの最大試行回数は100回です。ロックアウトについて(About lockouts)を参照してください。
      • 次の経過後にアカウントは自動的にロック解除されます(Account is automatically unlocked after) :ロックされたアカウントが自動的にロック解除されるまでの分数を入力します。自動ロック解除には追加のユーザーアクションは必要ありません。最小設定は1分です。この設定は、最大で9,999分に構成できます。デフォルトでは有効化されていません。
      • ロックアウトのエラーを表示(Show lock out failures):ログイン試行の失敗回数が多すぎるためにアカウントからロックアウトされた場合に、エンドユーザーに警告します。
      • ユーザーにロックアウトメールを送信(Send a lockout email to user):サインイン試行の失敗回数が多すぎるためにアカウントがロックされた場合に、ユーザーにメールを送信します。アカウントロック(Account Locked)メールは、 設定(Settings) > メールとSMS(Email & SMS)でカスタマイズできます。メールにリンクを挿入して、ユーザーが自分のアカウントをロック解除できるようにすることもできます。リンクを有効にするには、適切なメールを開き、ユーザーがセルフサービスロック解除を実行可能(The user can perform self-service account unlock)を選択します。
    ロック解除(Unlock):認証プロバイダーとしてActive Directoryを選択した場合、次のオプションを選択できます。
    • OktaとActive Directoryのユーザーをロック解除(Unlock users in and Active Directory):ADとOktaのユーザーアカウントをロック解除します。
    • ユーザーのみロック解除(Unlock users in only Okta ):Oktaのユーザーアカウントをロック解除します。
  6. アカウントの復元(Account Recovery)セクションで以下のフィールドに入力します。

    セルフサービス復旧オプション(Self-service recovery options):次のオプションを選択します。

    • SMS:パスワードを忘れたユーザーに、パスワードリセットコードが含まれるテキストメッセージを送信します。ユーザーは電話番号を入力するか、後で通知(Remind me later)をクリックできます。リマインダーは翌月1日以降のサインイン時に表示されます。

      SMSでパスワードのリセットを実行するには、セキュリティ質問が必要です。早期アクセス機能を使用すると、パスワード復元フローからセキュリティ質問を省略できます。これはOktaとADをソースとするユーザーにのみ適用されます。有効にする場合は、Oktaサポートにお問い合わせください。

    • 音声通話(Voice Call) :パスワードを忘れたユーザーに、パスワードリセットコードを音声で送信します。

    • メール(Email) :パスワードを忘れたユーザーに、パスワードリセットコードが記載されたメールを送信します。

    • リセット/ロック解除の復旧メールは次に対して有効です(Reset/Unlock recovery emails are valid for):復旧リンクの有効期間を分数、時間数、または日数として入力します。このフィールドで使用できる値は次のとおりです。
      • 60~300,000分
      • 1~5,000時間
      • 1~208日

    パスワード復旧用の質問の複雑さ(Password recovery question complexity):セキュリティ質問の回答で必要とされる最小文字数を入力します。

  7. ポリシーを作成(Create Policy)をクリックします。

パスワードポリシールールを作成する

  1. Admin Consoleセキュリティ(Security) > 認証(Authentication)に移動します。

  2. パスワード(Password)タブをクリックします。
  3. ルールを追加(Add Rule)(Add rule)をクリックします。
  4. 次のフィールドに情報を入力します。
    • ルール名(Rule Name):ルールの名前を入力します。
    • ユーザーを除外(Exclude Users):ルールから除外するユーザーの名前を入力します。入力を開始すると、テキストに一致するユーザー名の候補が表示されます。Oktaリストから目的のユーザーを選択します。除外するユーザーごとにこれを繰り返します。
    • ユーザーのIPが次の場合(IF User's IP is)
      • すべての場所(Anywhere):IPアドレスがパブリックゲートウェイIPリストに載っているかどうかに関わらずすべてのユーザーにルールを適用します。
      • ゾーン内(In zone):すべてのゾーン、または特定のゾーンのユーザーにルールを適用します。すべてのゾーン(All Zones)チェックボックスを選択して、ゾーン(Zones)フィールドに特定のゾーンを入力します。
      • ゾーン外(Not in zone):すべてのゾーン、または特定のゾーンのユーザーを除外してルールを適用します。すべてのゾーン(All Zones)チェックボックスを選択して、ゾーン(Zones)フィールドに特定のゾーンを入力します。

        パブリックゲートウェイIPリストとIPゾーン機能の詳細については、ネットワークゾーンを参照してください。

    • 設定後にユーザーができること(THEN User can):
      • パスワード変更(change password):ユーザーがパスワードを変更することを許可し、セルフサービスによるパスワードのリセットを行う(perform self-service password reset)オプションを利用できるようにします。
      • セルフサービスによるパスワードのリセットを行う(perform self-service password reset):サインインできない、またはパスワードを忘れたユーザーがセルフサービスパスワードリセットを行えるようにし、Sign-In Widget パスワードを忘れた場合(Forgot password?)を表示します。
      • セルフサービスによるアカウントのロック解除を実行(perform self-service account unlock):ユーザーがSign-In Widget アカウントのロック解除(Unlock account?)をクリックして自分のアカウントのロックを解除できるようにします。LDAPをソースとするOktaユーザーにこのオプションを選択した場合、アカウントはOktaではロック解除されますが、オンプレミスLDAPインスタンスではロックされたままとなります。セルフサービスによるロック解除を許可しない場合は、「ユーザーパスワードをリセットする」を参照してください。
  5. ルールを作成(Create Rule)をクリックします。

ロックアウトについて

AD/LDAPソフトロック

Oktaには、Oktaサインイン試行の失敗回数が多すぎるために、ADやLDAPソースのユーザーがWindowsアカウントやハードウェアデバイスからロックアウトされることを防ぐ機能があります。この機能は、悪意のある第三者がOktaを使ってユーザーをロックアウトさせることを防ぐのにも役立ちます。

Active DirectoryやLDAPのロックアウトを防ぐために、# > 回以上失敗した後にロックアウト(Lock out user after <#unsuccessful attempts)に入力した数が、ADやLDAPで構成されたサインイン試行の失敗制限よりも小さいことを確認してください。たとえば、ADやLDAPでWindowsサインイン試行の最大失敗回数が10回に設定されている場合は、Oktaでのサインインの最大失敗回数を9回に設定することをお勧めします。ユーザーがOktaで設定したサインイン制限を超えると、他で失敗した試行はADやLDAPに送信されません。Oktaこれにより、ユーザーが自分のWindowsアカウントからロックアウトされることを防ぐことができます。ADでは、ロックアウトされたOktaユーザーはセルフサービスによるアカウントのロック解除を使用するか、Okta管理者にサポートを求めることができます。LDAPソースアカウントをロック解除できるのは、管理者だけです。

不明なデバイスによるロックアウトの検知

早期アクセスリリース。セルフサービス機能を有効にするを参照してください。

またOktaでは、OktaをソースとするユーザーがOktaサインイン試行の失敗を重ねることが原因でOktaアカウントからロックアウトされることも防止されます。この機能により、不明なデバイスからの不審なサインイン試行をブロックできます。

Oktaは、サインイン試行が既知のデバイスからのものか、不明なデバイスからのものかを検出できます。既知のデバイスとは、以前にOktaへのサインインに使用されたことがあるデバイスです。不明なデバイスとは、Oktaへのサインインに使用されたことがないデバイスです。

失敗したサインイン試行が不明なデバイスによるものであるとOktaが判断した場合、不明なデバイスからの新たなサインイン試行はロックされます。OktaOktaは、既知のデバイスからのサインインはユーザーに許可します。これにより、Oktaユーザーのアカウントへのアクセスが不正なパーティによって妨害されないようにし、アカウントの保護を高められます。

不明なデバイスによる最小ロックアウト時間は2時間です。ロックアウト中に新しいデバイスからサインインする必要がある正当なユーザーの場合、Oktaはセルフサービスによるアカウントロック解除フローを開始します(org管理者が機能を有効にしている場合)。ユーザーがアカウントのロックを解除すると、新しいデバイスからサインインできるようになります。

この機能をアクティブ化する上で、管理者が何らかの設定を構成する必要はありません。

既知の制限

不明なデバイスが原因でロックアウトされたアカウントは、Admin Consoleには表示されません。管理者はこのようなアカウントをロック解除できません。セルフサービスによるアカウントロック解除機能を有効化してください。そうすると、ユーザーはロックアウトの期限が切れるのを待たずにアカウントにアクセスできます。セルフサービス復旧オプション(Self-service recovery options)を参照してください。

関連項目

パスワードポリシー

MFA登録ポリシー

Oktaのサインオンポリシー

アプリのサインオンポリシー

Oktaサインオンポリシーを構成する

MFA登録ポリシーを構成する

アプリサインオンポリシーを構成する