アプリサインオンポリシーを構成する
アプリサインオンポリシーでは、アプリケーションへのアクセスを許可または制限します。アプリサインオンポリシーを設定するには、以下の操作を行います。
- Admin Consoleで、 に移動します。
- 目的のアプリをクリックします。
- [サインオン]タブをクリックします。
- 下にスクロールして[サインオン・ポリシー]セクションに移動します。
- ルールを作成します。
- [ルールを追加]をクリックします。
- [Rule Name(ルール名)]フィールドに名前を入力します。
- [ユーザー]セクションのオプションを選択して、ルールを適用するユーザーを決定します。
- [Users assigned this app(このアプリが割り当てられているユーザー)]:この特定のアプリが割り当てられているユーザーを指定します。
- [The following groups and users(下記のグループとユーザー)]:アプリが割り当てられているグループまたは特定のユーザーにルールを割り当てます。
- ポリシールールから特定のグループとユーザーを除外するには、[Exclude the following users and groups from this rule(以下のユーザーやグループをこのルールから除外する)]を選択します。次に、グループやユーザーを指定します。
- 条件を構成します。
- (Microsoft Office 365アプリのみ)[If the user's client is any of these(ユーザーのクライアントが以下のいずれかの場合)]で、 [Actions(アクション)]セクションで設定したアクションをトリガーするクライアントタイプを選択します(WebブラウザーまたはModern Authクライアント)。詳細については、Office 365クライアントアクセスポリシーの[Client(クライアント)]セクションを参照してください。
- [And the user's platform is any of these(ユーザーのプラットホームが以下のいずれか)]で、[Access(アクセス)]セクションで設定したアクションをトリガーするモバイルまたはデスクトッププラットホームを選択します。
- [条件]セクションで指定した条件に基づいて、適用する[アクション]を構成します。
- [When all the conditions above are met, sign on to this application is(上記の条件がすべて満たされたら、このアプリケーションにサインオンする)] の設定で[Allowed(許可)] または[Denied(拒否)]を選択します。
- (SAMLアプリのみ)[Prompt for re-authentication(再認証を求める)] を選択して、ユーザーに再認証を求める頻度を指定します。指定する期間は、ユーザーが最後にOktaに認証された時点から始まります。
注:
- ユーザーがパスワードで認証した後、10秒間の猶予期間が適用されます。[Re-authentication frequency(再認証の頻度)]で[Every sign-in attempt(サインイン試行の都度)]が選択されている場合は、この猶予期間中に再度パスワードの入力を求められることはありません。
- この機能は、SAMLで構成されたすべてのアプリで使用できます。
- SWAアプリでは再認証がサポートされていないため、再認証が選択されている場合、サインオン方法をSAMLからSWAに変更することはできません。
- ユーザーにMFAオプションの選択を求める場合は、[Prompt for factor(要素を求める) ]を選択してから、ユーザーに求める頻度を指定します。[Multifactor Settings(多要素設定)]リンクをクリックして[Multifactor Authentication(多要素認証)]ページに移動し、そこで要素を選択できます。
- [保存]をクリックします。
Location(場所):ポリシーを適用する 場所を指定します。使用可能なオプションは、[Anywhere(すべての場所)]、[ゾーン内]、[ゾーン外]です。
[ゾーン内]を選択した場合には、ゾーンの名前を入力します。ゾーン名は [Security (セキュリティ)] > [Network(ネットワーク)]で設定します。「ネットワークゾーン」と「動的ゾーン」を参照してください。
[Client(クライアント)]:[Access(アクセス)]セクションで構成したアクションをトリガーする条件を選択します。
デバイスの信頼:[Access(アクセス)]セクションで設定したアクションをトリガーするデバイスの信頼ステータスを指定します。[Trusted(信頼されている)]と[Not Trusted(信頼されていない)]オプションは、[デバイスの信頼]が [セキュリティ]>[デバイスの信頼]で設定されている場合にのみ選択できます。Okta デバイスの信頼では、信頼シグナル(MDM登録、証明書、ユニバーサルリンクのサポート)の存在に基づいて、デバイスが信頼できるか決定されます。
[アクセス]:
ルールに優先順位を付ける
ルールの優先度を設定するには、青色の矢印をクリックして優先度番号を設定します。優先度の値が1のルールは、優先度が一番高くなり、ほかのすべてのルールより優先されます。
ルールを管理する
- ルールを編集するには、鉛筆アイコンをクリックし、[ルールを編集]オプションを選択します。
- ルールを無効にするには、鉛筆アイコンをクリックして[Disable rule(ルールを無効化)]オプションを選択します。
- ルールを削除するには、[X]アイコンをクリックします。
ユーザーエクスペリエンス
ユーザーがアプリからブロックされると、次のメッセージが表示されます。
管理者がポリシーを設定しているため、現在このアプリケーションへのアクセスは許可されていません。
原因が不明な場合は、管理者にお問い合わせください。
必要であれば、Oktaホームページに移動することもできます。