Oktaのサインオンポリシー

ポリシーは、ユーザーセッションライフタイム、ログイン時の多要素認証の有無、使用できるMFA要素、パスワードの複雑さの要件、さまざまな状況下で許可するセルフサービス操作の種類、ユーザーをルートするIDプロバイダーなどの事柄に関するルールや設定を制御するために、Oktaによって使用されます。ポリシーには適用されるルールがあり、それに基づいて特定の時間に特定のユーザーに適用できるかどうかを決定します。通常、ポリシーは多くのユーザーに適用できる大きな要素で構成されます（パスワードの最小の長さなど）。ルールにはポリシーと同様に、ルールを適用するために満たすべき条件があります。ルールは、場所や状況などの条件で構成されます（地理的な場所や、ユーザーが会社のネットワークに接続しているかどうかなど）。幅広いシナリオに対応できるように複数のポリシーを作成し、その実行順を指定して、そのポリシー内に複数のルールを作成できます。

Oktaのサインオンポリシーでは、チャレンジの要求、別のチャレンジが要求されるまでの時間の設定など、アクセスの許可に関して実行されるアクションを指定できます。

Oktaは、各ポリシータイプに1つのデフォルト（Default）という名前のデフォルトポリシーを提供します。これは、デフォルトで新しいアプリケーションに適用される必須ポリシーか、Oktaのorgで他のポリシーが適用されないユーザーに適用されるポリシーです。これにより、すべての状況でユーザーに適用されるポリシーが常時存在することになります。

デフォルトのポリシーは必須で、削除できません。
新しいアプリケーション（Office365、Radius、MFA以外）は、デフォルトポリシーに割り当てられます。
デフォルトポリシーは常に優先順位が最も低いポリシーになります。このタイプの追加されたポリシーはすべて、デフォルトポリシーより優先順位が高くなります。
デフォルトポリシーには常に1つのデフォルトルールがあり、これは削除できません。デフォルトルールは常に優先順位が最も低いルールになります。デフォルトポリシーにルールを追加する場合、デフォルトルールより優先順位が高くなります。

デフォルトのポリシーに加えて、すでにMFAを構成している場合にのみ存在するレガシー（Legacy）という名前の別のポリシーがあります。このポリシーには、サインオンポリシーを有効にしたときに設定されていたMFA設定が反映されるため、ポリシーを変更しない限りMFAの動作は変更されません。必要に応じて削除できます。

注:

RADIUSアプリケーション用のサインオンポリシーの構成：セキュリティ（Security） > 認証（Authentication） > サインオン（Sign On）でAdmin ConsoleからOktaのサインオンポリシーを作成しても、RADIUSアプリケーションには適用されません。RADIUSアプリケーションのサインオンポリシーは、常にRADIUSアプリケーションのセットアップの一部として構成する必要があります。詳細については、アプリケーションのサインオンポリシーを追加するを参照してください。

Oktaのポリシー評価

Oktaでは、ポリシーの条件とルールの条件が統合されて、特定のユーザーにポリシーが適用されるかどうかが判断されます。ユーザーがOktaにサインインを試みたり、ユーザーがセルフサービス操作を開始したりするなど、特定のユーザーに対してポリシーを取得する必要がある場合はポリシーの評価が行われます。ポリシーの評価中は、適切なタイプの各ポリシーがポリシー優先度で示された順で検討されます。ポリシーに関連するすべての条件が評価されます。1つ以上の条件が満たされない場合、リスト内の次のポリシーが検討されます。条件を満たすことができた場合、ポリシーに関連するルールはルール優先度で示された順で検討されます。対象のルールに関連するすべての条件が評価されます。ルールに関連するすべての条件を満たす場合、ルールおよび関連するポリシーに含まれる設定がユーザーに適用されます。ポリシールールの条件が1つも満たされない場合、リスト内の次のポリシーが検討されます。

たとえば、「管理者」グループに割り当てるポリシーを作成する場合は、管理者のニーズに合わせた特有の条件を作成します。ポリシーには、パスワードのハッキングを制限するために12文字以上を含める必要があります。ポリシーに適用するルールには、特定の条件下でのみセルフサービスのロック解除を許可するルールなどがあります。その他の条件の例としては、特定の管理者が企業ネットワークの内外からサインインしているかどうかなどがあります。

ヒント：

ルールが含まれていないポリシーは正常に適用できません。そのポリシーにルールが存在しないことを示す警告が表示されます。
制限の多いルールが優先度（Priority）リストの一番上に配置されます。
「全員（Everyone）」が一番上にある場合、特別な条件は適用されず、ポリシー評価は必要ありません。複数のルールが存在し、最初のルールの条件が満たされない場合、Oktaによってそのルールがスキップされ、次のルールが評価されます。
リスクの高いイベントや動作に対しては、要素を求める（Prompt for Factor）要件を毎回（Every time）に設定します。
デバイスごと（Per device）およびセッションごと（Per session）オプションでは、ユーザーグループのMFAが減ります。MFAのバイパスをユーザーに許可するため、低リスク、低保証のユースケースのみに適切です。

MFA要素とサインオンポリシー

多要素（Multifactor）ページから少なくとも1つの要素を選択しない限り、要素のプロンプト（Prompt for Factor）チェックボックスはアクティブになりません。

このページにアクセスして1つ以上の要素を選択するには、セキュリティ（Security） > 多要素に移動します。

注:

特定の要素がポリシーで指定されている場合、その要素は、必要とされるすべてのポリシーから削除されるまで削除できません。OrgでMFAが有効になっている場合、少なくとも1つの要素を指定する必要があります。要素が指定されていない場合、多要素（Multifactor）ページにエラーメッセージが表示されます。