Okta Sign-on Policyを構成する

Oktaのサインオンポリシーは、誰がOktaにアクセスできるか、どこからOktaにアクセスできるか、どのように本人確認しなければならないかを決定します。

すべてのorgには、すべてのユーザーに適用できるデフォルトのOkta Sign-on Policyがあります。Oktaのサインオンポリシーをさらに作成して特定のユーザーグループに割り当てたり、デフォルトポリシーに対して優先させたりすることができます。ユーザーがサインインを試みると、Oktaは一致が見つかるまで優先度順にポリシーを評価します。ユーザーがアクセス権を獲得すると、それ以外のOktaサインオンポリシーは評価されません。したがって、ポリシーは最も限定的なものから順に並べることをお勧めします。最も限定的でないポリシーをリストの最後から2番目に配置し、リストの最後にデフォルトのOkta サインオンポリシーを配置します。

Oktaサインオンポリシーを作成する

  1. Admin Consoleで[Security(セキュリティ)][Authentication(認証)]に進みます。

  2. [Sign On(サインオン)]タブをクリックします。

  3. [Add New Okta Sign-on Policy(新規Oktaサインオンポリシーを追加)]をクリックします。

  4. 以下のフィールドに入力します。

    • [Policy Name(ポリシー名)]:サインオンポリシーの名前を入力します。

    • [Policy Description(ポリシーの説明)]:オプションです。Okta Sign-on Policyの説明を入力します。

    • [Assign to Groups(グループに割り当てる)]:ポリシーを適用するグループの名前を入力します。ポリシーは複数のグループに適用できます。

  5. [Create Policy and Add Rule(ポリシーを作成してルールを追加)]をクリックします。

Okta Sign-on Policyルールを追加する

  1. [Add Rule(ルールを追加)]をクリックします。

  2. [Rule name(ルール名)]フィールドには、作成するルールのわかりやすい名前を追加します。

  3. 任意。[Exclude users(ユーザーを除外)]フィールドには、ルールから除外するグループの個々のユーザーを示します。

  4. 条件を指定し、[Save(保存)]をクリックします。

IF[User's IP is(ユーザーのIPが次の場合)] ドロップダウンメニューを使って場所のパラメーターを割り当てます。認証を求める場所の種類を指定できます。ゾーンを指定する場合には、IPが動的であり、IPの地理位置情報が保証されないことに注意してください。場所のみに依存してアクセスを拒否するポリシーは作成しないでください。「ネットワークゾーン」と「動的ゾーン」を参照してください。
AND[Identity provider is(IDプロバイダーが次の場合)] 使用するIDプロバイダーを選択します。「IDプロバイダー」を参照してください。
AND[Authenticates via(次で認証)] 必要な認証方法を選択します。
AND[Behavior is(動作)] 動作タイプまたは名前が付けられた動作を入力します。複数の動作を追加すると、OR条件として扱われます。「サインオンポリシールールに動作を追加する」を参照してください。

リスクの高い動作に対しては、予備の要素の要件を[Every time(毎回)]に設定します。動作条件をper device(デバイスごと)またはper session(セッションごと)の予備の要素の要件と組み合わせないでください。

Okta Admin Consoleで毎回再認証することをお勧めします。
AND[Risk is(リスクレベル)] [Low(低)]、[Medium(中)]、または[High(高)]のリスクレベルを選択します。[High(高)]を選択した場合は、予備の要素の要件を[Every time(毎回)]に設定します。高リスクレベルをper device(デバイスごと)またはper session(セッションごと)の予備の要素の要件と組み合わせないでください。

リスクスコアリング」を参照してください。
THEN[Access is(アクセスの可否)] 前のドロップダウンリストの認証フォームに基づいて、このフォームを使って条件がアクセスを許可するか、拒否するかを決定します。

[Authentication(認証)]

多要素認証が必要かどうかを示します。

[Users will authenticate with(ユーザーの認証方法)]

ユーザーの認証方法を選択します。

  • [Password / Any IdP(パスワード/任意のIdP)]:パスワードおよびOrg用に構成された任意のIDプロバイダーを使用します。

  • [Password / Any IdP + Any authenticator(パスワード/任意のIdP+任意のAuthenticator)]:パスワード、Org用に構成された任意のIDプロバイダー、Org用に構成された任意の要素を使用します。

  • [Factor Sequence(要素シーケンス)]:ユーザーがOktaにサインインしたときに表示されるMFA要素のシーケンスを指定します。手順については、「MFA要素のシーケンス化」を参照してください。

[Users will be prompted for MFA(ユーザーにMFA用のプロンプトを表示)]

ユーザーにMFAの使用が求められる場合に、使用を促すプロンプトをいつ表示するかを示します。
  • [At every sign in(サインイン毎)]:ユーザーは、OktaにサインインするたびにMFAを求められます。
  • [When signing in with a new device cookie(新しいデバイスcookieでサインインする場合)]:ユーザーが新しいデバイスを使ってサインインする場合、または既存のデバイスからcookieが削除される場合に、ユーザーはMFAを求められます。ユーザーが[Do not challenge me on this device again(このデバイスではこれ以上チャレンジしない)]を選択すると、(デバイスcookieが有効な間は)ユーザーはサインイン時にMFAを促されなくなります。
  • [After MFA lifetime expires for the device cookie(デバイスcookieのMFAライフタイムが期限切れになった後)]:MFAライフタイム期間の期限切れ後にサインインを試みると、ユーザーはMFAを求められます。ユーザーが[Do not challenge me on this device again for the next time(このデバイスでは次回からチャレンジしない)]を選択すると、(デバイスcookieが有効な間は)ユーザーはサインイン時にMFAを促されなくなります。
    • [MFA lifetime(MFAライフタイム)]:このオプションは、[After MFA lifetime expires for the device cookie(デバイスcookieのMFAライフタイムが期限切れになった後)]を選択すると表示されます。右のフィールドに数値を入力し、ドロップダウンリストから値を選択します([Days(日)][Hours(時間)][Minutes(分)])。
  • [Select "Don't prompt me again for MFA" by default(「次回からMFAのプロンプトを表示しない」をデフォルトで選択する]:このオプションを選択すると、ユーザーにMFAを促しません。

[Session Lifetime(セッションライフタイム)]

Oktaセッションの長さを構成します。

[Maximum Okta session lifetime(最大Oktaセッションライフタイム)]

Oktaセッションライフタイムを構成します。

  • [No time limit(時間制限なし)]:このオプションを選択すると、Oktaセッションに時間制限は適用されませんが、アイドル時間に達するとユーザーセッションは期限切れになります。

  • [Set time limit(時間制限を設定)]Oktaセッションライフタイムに時間制限を設定します。右のフィールドに数値を入力し、ドロップダウンリストから値を選択します([Days(日)][Hours(時間)][Minutes(分)])。

    • Admin Consoleのセッションライフタイムは、このグローバル設定とは独立して設定できます。Admin Consoleセッションライフタイムを構成する」を参照してください。

[Expire session after user has been idle on Okta for(ユーザーがOktaで次の間アイドル状態になった後にセッションを期限切れにする)]

Okta最大セッションライフタイムに関係なく、Oktaセッションが自動的に期限切れになるまでのアイドル時間を構成します。

  • 右のフィールドに数値を入力し、ドロップダウンリストから値を選択します([Days(日)][Hours(時間)][Minutes(分)])。

Admin Consoleのタイムアウトは、このグローバル設定とは独立して設定できます。Admin Consoleセッションライフタイムを構成する」を参照してください。

[Persist session cookies across browser sessions(ブラウザーセッション間でセッションクッキーを保持)]

ブラウザーセッション間でのセッションCookieの保持を有効化または無効化します。ドロップダウンリストからオプションを選択します。

  • [Enable(有効化)]:ユーザーが希望する場合に、セッションCookieがブラウザーセッション間で保持されることを許可します。この機能を有効化するには、ユーザーが[Sign-In Widget][Keep me signed in(サインインしたままにする)]を選択する必要があります。

  • [Disable(無効化)]:ブラウザーセッション間でセッションcookieが持続することを許可しません。

Okta Sign-on Policyを作成したら、新しいポリシーを有効化するために、すべてのアクティブセッションを閉じる必要があります。Oktaのサインオンポリシーは、APIトークンの有効性やライフタイムには影響しません。「Okta APIトークンを管理する」を参照してください。

セッションライフタイムの最大値は、Okta APIを通じて設定できます。過去にAPIを使ってこの値を設定した場合、その最大値をOktaアプリで上回ることはできません。APIの最大値を上回る値を設定すると、エラーになります。

ユニバーサルOkta Sign-on Policyアクション

  • 好みの優先度の順にポリシーをドラッグアンドドロップします。
  • 好みの順にポリシー内のルールをドラッグアンドドロップします。
  • [Add New Okta Sign-on Policy(新しいOktaサインオンポリシーを追加)]を選択してポリシーを追加します。

Oktaサインオンポリシーを編集する

1つのポリシーに対して次のアクションを実行できます。リストからポリシーを選択して開始します。

  • 選択したポリシーをアクティブ化または非アクティブ化します。ポリシーを非アクティブ化した場合、そのポリシーはどのユーザーにも適用されませんが、後で再アクティブ化できます。
  • ポリシーを編集するには、[Edit(編集)]をクリックします。
  • ポリシーを削除するには、[Delete(削除)]をクリックします。デフォルトのポリシーは削除できません。
  • 選択したポリシーにルールを追加するには、[Add Rule(ルールを追加)]をクリックします。ポリシー内で、ルールをアクティブ化、非アクティブ化、編集、または削除できます。
  • ルールの詳細を表示するには、[Add Rule(ルールを追加)]でルール名をクリックします。

認証前サインオン評価ポリシー

ユーザーがAuthN APIを使ってサインインすると、パスワードやその他の要素の検証の前にサインオンポリシーが評価されます。この評価は、org全体で発生するアカウントロックアウトの回数を減らす上で役立ちます。

サインオンポリシーが[deny(拒否)]に設定されている場合、「Authentication failed(認証に失敗しました)」という一般的なエラーでユーザーのサインオン試行は拒否されます。このシナリオでは、失敗ログインのカウンターは増加しません。代わりに認証前サインオンポリシー評価を示すログイベントがトリガーされます。

  • このバックエンド機能を有効化するために、Admin ConsoleでUIを変更したり、設定を行う必要はありません。
  • このポリシーは、JITプロビジョニングを使用するように構成された新規作成アカウントの初期認証では機能しません。エンドユーザーアカウントはOktaに存在する必要があります。
  • このポリシーは、拒否された場所からユーザーが資格情報をリセットすることを妨げません。

関連項目

Oktaのサインオンポリシー

MFA登録ポリシー

パスワードポリシー

アプリのサインオンポリシー

MFA登録ポリシーを構成する

アプリサインオンポリシーを構成する

パスワードポリシーを構成する