Okta Sign-on Policyを構成する

Oktaのサインオンポリシーは、誰がOktaにアクセスできるか、どこからOktaにアクセスできるか、どのように本人確認しなければならないかを決定します。

すべてのorgには、すべてのユーザーに適用できるデフォルトのOkta Sign-on Policyがあります。Oktaのサインオンポリシーをさらに作成して特定のユーザーグループに割り当てたり、デフォルトポリシーに対して優先させたりすることができます。ユーザーがサインインを試みると、Oktaは一致が見つかるまで優先度順にポリシーを評価します。ユーザーがアクセス権を獲得すると、それ以外のOktaサインオンポリシーは評価されません。したがって、ポリシーは最も限定的なものから順に並べることをお勧めします。Okta最も限定的でないポリシーをリストの最後から2番目に配置し、リストの最後にデフォルトのOkta サインオンポリシーを配置します。

Oktaサインオンポリシーを作成する

  1. Admin Consoleでセキュリティ(Security) > 認証(Authentication)に進みます。

  2. サインオン(Sign On)タブをクリックします。

  3. 新規Oktaサインオンポリシーを追加(Add New Sign-on Policy)をクリックします。

  4. 以下のフィールドに入力します。

    • ポリシー名(Policy Name):サインオンポリシーの名前を入力します。

    • ポリシーの説明(Policy Description):オプションです。Okta Sign-on Policyの説明を入力します。

    • グループに割り当てる(Assign to Groups):ポリシーを適用するグループの名前を入力します。ポリシーは複数のグループに適用できます。

  5. ポリシーを作成してルールを追加(Create Policy and Add Rule)をクリックします。

Okta Sign-on Policyルールを追加する

  1. ルールを追加(Add Rule)をクリックします。

  2. ルール名(Rule name)フィールドには、作成するルールのわかりやすい名前を追加します。

  3. 任意。ユーザーを除外(Exclude users)フィールドには、ルールから除外するグループの個々のユーザーを示します。

  4. 条件を指定し、保存(Save)をクリックします。

IF > ユーザーのIPが次の場合(User's IP is) ドロップダウンメニューを使用して場所のパラメーターを割り当てます。認証を求める場所の種類を指定できます。ゾーンを指定する場合には、IPが動的であり、IPの地理位置情報が保証されないことに注意してください。場所のみに依存してアクセスを拒否するポリシーは作成しないでください。ネットワークゾーン動的ゾーンを参照してください。
AND > IDプロバイダー:(AND Identity provider is) 使用するIDプロバイダーを選択します。「IDプロバイダー」を参照してください。
AND > 次で認証:(AND Authenticates via) 必要な認証方法を選択します。
AND > 動作(Behavior is) 動作タイプまたは名前が付けられた動作を入力します。複数の動作を追加すると、OR条件として扱われます。サインオンポリシールールに動作を追加するを参照してください。

リスクの高い動作に対しては、予備の要素の要件を毎回(Every time)に設定します。動作条件をデバイスごと(per device)またはセッションごと(per session)の予備の要素の要件と組み合わせないでください。
AND > リスクレベル(Risk is) 低([Low)中(]、[Medium)]、または[High(高)]のリスクレベルを選択します。高(High)を選択した場合は、予備の要素の要件を毎回(Every time)に設定します。高リスクレベルをデバイスごと(per device)またはセッションごと(per session)の予備の要素の要件と組み合わせないでください。

リスクスコアリング」を参照してください。
THEN > アクセスの可否(THEN Access is) 前のドロップダウンリストの認証フォームに基づき、このフォームを使用して条件がアクセスを許可または拒否するかを決定します。

認証(Authentication)

多要素認証が必要かどうかを示します。

ユーザーの認証方法(Users will authenticate with)

ユーザーの認証方法を選択します。

  • パスワード/任意のIdP(Password / Any IdP):パスワードおよびOrg用に構成された任意のIDプロバイダーを使用します。

  • パスワード/任意のIdP+任意のAuthenticator(Password / Any IdP + Any authenticator):パスワード、Org用に構成された任意のIDプロバイダー、Org用に構成された任意の要素を使用します。

  • 要素シーケンス(Factor Sequence):ユーザーがOktaにサインインしたときに表示されるMFA要素のシーケンスを指定します。手順については、MFA要素のシーケンス化を参照してください。

ユーザーにMFA用のプロンプトを表示(Users will be prompted for MFA)

ユーザーにMFAの使用が求められる場合に、使用を促すプロンプトをいつ表示するかを示します。
  • サインイン毎(At every sign in):ユーザーは、OktaにサインインするたびにMFAを求められます。
  • 新しいデバイスcookieでサインインする場合(When signing in with a new device cookie):ユーザーが新しいデバイスを使ってサインインする場合、または既存のデバイスからcookieが削除される場合に、ユーザーはMFAを求められます。ユーザーがこのデバイスではこれ以上チャレンジしない(Do not challenge me on this device again)を選択すると、ユーザーはサインイン時にMFAを促されなくなります。これは、デバイスのCookieが有効になっている限り適用されます。
  • デバイスcookieのMFAライフタイムが期限切れになった後(After MFA lifetime expires for the device cookie):MFAライフタイム期間の期限切れ後にサインインを試みると、ユーザーはMFAを求められます。ユーザーがこのデバイスでは次回からチャレンジしない(Do not challenge me on this device again for the next time )を選択すると、ユーザーはサインイン時にMFAを促されなくなります。これは、デバイスのCookieが有効になっている限り適用されます。
    MFAライフタイム(MFA lifetime):このオプションは、デバイスcookieのMFAライフタイムが期限切れになった後(After MFA lifetime expires for the device cookie)を選択すると表示されます。右のフィールドに数値を入力し、ドロップダウンリストから値を選択します(日(Days)時間(Hours)分(Minutes))。
  • Select "Don't prompt me again for MFA" by default(「次回からMFAのプロンプトを表示しない」をデフォルトで選択する:このオプションを選択すると、ユーザーにMFAを促しません。

セッションライフタイム(Session Lifetime)

Oktaセッションの長さを構成します。

Oktaグローバルセッションの最大ライフタイム(Maximum global session lifetime)

Oktaセッションライフタイムを構成します。

  • 時間制限なし(No time limit):このオプションを選択すると、Oktaセッションに時間制限は適用されませんが、アイドル時間に達するとユーザーセッションは期限切れになります。

  • 時間制限を設定(Set time limit)Oktaセッションライフタイムに時間制限を設定します。右のフィールドに数値を入力し、ドロップダウンリストから値を選択します(日(Days)時間(Hours)分(Minutes))。

Admin Consoleのセッションライフタイムは、このグローバル設定とは独立して設定できます。「Admin Consoleタイムアウトポリシーを構成する」を参照してください。

Okta グローバルセッションの最大アイドル時(Maximum global session idle time)

Okta最大セッションライフタイムに関係なく、Oktaセッションが自動的に期限切れになるまでのアイドル時間を構成します。

右のフィールドに数値を入力し、ドロップダウンリストから値を選択します(日(Days)時間(Hours)分(Minutes))。

Admin Consoleのタイムアウトは、このグローバル設定とは独立して設定できます。「管理者セッションポリシーを構成する」を参照してください。

Oktaブラウザーセッション間でグローバルセッションcookieを保持(global session cookies persist across browser sessions)

ブラウザーセッション間でのセッションCookieの保持を有効化または無効化します。ドロップダウンリストからオプションを選択します。

  • 有効化(Enable):ユーザーが希望する場合に、セッションCookieがブラウザーセッション間で保持されることを許可します。この機能を有効化するには、ユーザーがSign-In Widgetサインインしたままにする(Keep me signed in)を選択する必要があります。

  • 無効化(Disable):ブラウザーセッション間でセッションcookieが持続することを許可しません。

Okta Sign-on Policyを作成したら、新しいポリシーを有効化するために、すべてのアクティブセッションを閉じる必要があります。Oktaのサインオンポリシーは、APIトークンの有効性やライフタイムには影響しません。Okta APIトークンを管理するを参照してください。

ユニバーサルOkta Sign-on Policyアクション

  • 好みの優先度の順にポリシーをドラッグアンドドロップします。
  • 好みの順にポリシー内のルールをドラッグアンドドロップします。
  • 新しい Oktaサインオンポリシーを追加(Add New Sign-on Policy)を選択してポリシーを追加します。

Oktaサインオンポリシーを編集する

1つのポリシーに対して次のアクションを実行できます。リストからポリシーを選択して開始します。

  • 選択したポリシーをアクティブ化または非アクティブ化します。ポリシーを非アクティブ化した場合、そのポリシーはどのユーザーにも適用されませんが、後で再アクティブ化できます。
  • ポリシーを編集するには、編集(Edit)をクリックします。
  • ポリシーを削除するには、削除(Delete)をクリックします。デフォルトのポリシーは削除できません。
  • 選択したポリシーにルールを追加するには、ルールを追加(Add Rule)をクリックします。ポリシー内で、ルールをアクティブ化、非アクティブ化、編集、または削除できます。
  • ルールの詳細を表示するには、ルールを追加(Add Rule)でルール名をクリックします。

認証前サインオン評価ポリシー

ユーザーがAuthN APIを使ってサインインすると、パスワードやその他の要素の検証の前にサインオンポリシーが評価されます。この評価は、org全体で発生するアカウントロックアウトの回数を減らす上で役立ちます。

ユーザーがサインインを試み、サインオンポリシーが拒否(deny)(Authentication failed)に設定されていると、ユーザーに認証が失敗しました(Authentication failed)(deny)のエラーメッセージが表示されます。このシナリオでは、失敗ログインのカウンターは増加しません。代わりに認証前サインオンポリシー評価を示すログイベントがトリガーされます。

関連項目

Oktaのサインオンポリシー

MFA登録ポリシー

パスワードポリシー

アプリのサインオンポリシー

MFA登録ポリシーを構成する

アプリサインオンポリシーを構成する

パスワードポリシーを構成する