アプリサインオンポリシーを構成する

アプリサインオンポリシーを利用することで、アプリケーションへのアクセスのルールを構成できます。これは、アプリへのサインインを試みるユーザーが特定の条件を満たしているかどうかを検証し、それらの条件に基づいて要素の要件を強制します。

アプリサインオンポリシーを作成した上で、そのルールを構成します。

アプリのサインオンポリシーを作成する

  1. Admin Console[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。
  2. 目的のアプリをクリックします。
  3. [サインオン]タブをクリックします。
  4. [サインオンポリシー]セクションまでスクロールします。

アプリサインオンポリシールールを構成する

  1. [Add Rule(ルールを追加)]をクリックします。
  2. [Rule Name(ルール名)]フィールドに名前を入力します。
  3. [ユーザー]セクションでユーザーとグループにこのアプリを割り当てる、またはユーザーとグループを選択してこのアプリから除外します。
    • [Users assigned this app(このアプリが割り当てられたユーザー)]:ユーザーとグループがユーザープロファイルまたはグループ定義からこのアプリに割り当てられるようにするには、このオプションを選択します。
    • [The following groups and users(次のグループとユーザー)]:指定したグループまたはユーザーにアプリケーションを割り当てられるようにするには、このオプションを選択します。
      • [Groups(グループ)]:グループ名の最初の数文字を入力し、フィールドに表示されたら選択します。追加の各グループについても同様に繰り返します。
      • [Users(ユーザー)]:ユーザー名の最初の数文字を入力し、フィールドに表示されたら選択します。追加の各ユーザー名についても同様に繰り返します。
      • [Exclude the following users and groups from this rule(次のユーザーとグループをこのルールから除外)]:アプリから除外するグループとユーザーを指定するには、このオプションを選択します。
        [Excluded Groups(除外されたグループ)]
        グループ名の最初の数文字を入力し、フィールドに表示されたら選択します。追加の各グループについても同様に繰り返します。
        [Excluded Users(除外されたユーザー)]
        ユーザー名の最初の数文字を入力し、フィールドに表示されたら選択します。追加の各ユーザー名についても同様に繰り返します。
  4. ルールの場所を構成します。ゾーンを指定する場合には、IPが動的であり、IPの地理位置情報が保証されないことに注意してください。場所のみに依存してアクセスを拒否するポリシーは作成しないでください。
    • [Anywhere(任意の場所)]:アプリへのアクセスを試行する際に、ユーザーが任意の場所から接続できるようにします。
    • [In Zone(ゾーン内)]:アプリへのアクセスを試行する際に、ユーザーが指定のネットワークゾーンのみから接続できるようにします。
    • [Not in Zone(ゾーン外)]:指定のネットワークゾーンからアプリにアクセスするユーザーをブロックします。
  5. 接続の許可/拒否の対象となるネットワークゾーンを指定します。
    • [All Zones(すべてのゾーン)]:すべてのネットワークゾーンからの接続を許可/拒否するには、このオプションを選択します。
    • [Type zone to add(追加するゾーンを入力)]:このフィールドは、[All Zones(すべてのゾーン)]を空白のままにした場合に表示されます。このフィールドの内側をクリックします。ネットワークゾーン名の最初の数文字を入力し、フィールドに表示されたら選択します。追加の各ネットワークゾーン名についても同様に繰り返します。「ネットワークゾーン」と「動的ゾーン」を参照してください。
  6. Microsoft 365/Office 365アプリのみ:クライアントアクセスポリシールールに従って評価するプラットフォームを[クライアント]セクションで選択します。[アクション]セクションで構成するアクションをトリガーできます(WebブラウザーまたはModern Authクライアント)。「Office 365クライアントアクセスポリシー」の「クライアント」セクションを参照してください。
  7. このポリシーの条件が満たされた場合に強制するアクションを[アクセス]セクションで構成します。
    • [Allowed(許可)]:ユーザーがアプリにアクセスできるようにします。多要素認証応答を構成します。
      • [Prompt for reauthentication(再認証を求める)]:SAMLアプリのみ。ユーザーに再認証を求める頻度を指定します。指定する期間は、ユーザーが最後にOktaに認証された時点から始まります。このオプションを選択すると、[User is prompted to re-enter their password after n minutes(ユーザーはn分後にパスワードの再入力を求められる)]オプションが表示されます。間隔の分数をフィールドに入力します。

        ユーザーがパスワードで認証した後で10秒間の猶予期間が適用されます。この猶予期間中は、[Every sign-on(サインオンのたび)]が選択されている場合でもパスワードの再入力は求められません。

        この機能は、SAMLで構成されたすべてのアプリで利用できます。

        SWAアプリでは再認証がサポートされないため、再認証が選択されている場合、サインオン方式をSAMLからSWAに変更することはできません。

      • [Prompt for factor(要素を求める) ]:ユーザーにMFA要素の選択を求め、ユーザーにそれを求める頻度を指定します。[Multifactor Settings(多要素設定)]リンクをクリックして[Multifactor Authentication(多要素認証)]ページに移動し、そこで要素を選択できます。
    • [Denied(拒否)]:ユーザーがアプリにアクセスできないようにします。
  8. [Save(保存)]をクリックします。

ルールに優先順位を付ける

ルールの優先度を設定するには、青色の矢印をクリックして優先度番号を設定します。優先度の値が1のルールは、優先度が一番高くなり、ほかのすべてのルールより優先されます。

ルールを管理する

  1. ルールを編集するには、鉛筆アイコンをクリックし、[Edit rule(ルールを編集)]オプションを選択します。
  2. ルールを無効にするには、鉛筆アイコンをクリックして[Disable rule(ルールを無効化)]オプションを選択します。
  3. ルールを削除するには、[X]アイコンをクリックします。

ユーザーエクスペリエンス

ユーザーがアプリからブロックされると、次のメッセージが表示されます。

  • 管理者がポリシーを設定しているため、現在このアプリケーションへのアクセスは許可されていません。
  • 原因が不明な場合は、管理者にお問い合わせください。
  • 必要であれば、Oktaホームページに移動することもできます。

関連項目

アプリのサインオンポリシー

MFA登録ポリシー

パスワードポリシー

Oktaのサインオンポリシー

Oktaサインオンポリシーを構成する

MFA登録ポリシーを構成する

パスワードポリシーを構成する