Okta Sign-on Policyを構成する
Okta Sign-on Policyは、誰がOktaにアクセスできるか、どこからOktaにアクセスできるか、どのように本人確認しなければならないかを決定します。
すべてのorgには、すべてのユーザーに適用できるデフォルトのOkta Sign-on Policyがあります。Okta Sign-on Policyをさらに作成して特定のユーザーグループに割り当てたり、デフォルトポリシーに対して優先させたりすることができます。ユーザーがサインインを試みると、Oktaは一致が見つかるまで優先度順にポリシーを評価します。ユーザーがアクセス権を獲得すると、それ以外のOkta Sign-on Policyは評価されません。したがって、ポリシーは最も限定的なものから順に並べることをお勧めします。最も限定的でないポリシーをリストの最後から2番目に配置し、リストの最後にデフォルトのOkta Sign-on Policyを配置します。
Oktaサインオンポリシーを作成する
-
Admin Consoleで
に進みます。 -
[Sign On(サインオン)]タブをクリックします。
-
[Add New Okta Sign-on Policy(新規Oktaサインオンポリシーを追加)]をクリックします。
-
以下のフィールドに入力します。
-
[Policy Name(ポリシー名)]:サインオンポリシーの名前を入力します。
-
[Policy Description(ポリシーの説明)]:オプションです。Okta Sign-on Policyの説明を入力します。
-
[Assign to Groups(グループに割り当てる)]:ポリシーを適用するグループの名前を入力します。ポリシーは複数のグループに適用できます。
-
-
[Create Policy and Add Rule(ポリシーを作成してルールを追加)]をクリックします。
Okta Sign-on Policyルールを追加する
-
[Add Rule(ルールを追加)]をクリックします。
-
[Rule name(ルール名)]フィールドには、作成するルールのわかりやすい名前を追加します。
-
任意。[Exclude users(ユーザーを除外)]フィールドには、ルールから除外するグループの個々のユーザーを示します。
-
条件を指定し、[Save(保存)]をクリックします。
ドロップダウンメニューを使って場所のパラメーターを割り当てます。認証を求める場所の種類を指定できます。「ネットワークゾーン」と「動的ゾーン」を参照してください。 | |
使用するIDプロバイダーを選択します。「IDプロバイダー」を参照してください。 | |
必要な認証方法を選択します。 | |
動作タイプまたは名前が付けられた動作を入力します。複数の動作を追加すると、OR条件として扱われます。「サインオンポリシールールに動作を追加する」を参照してください。 リスクの高い動作に対しては、予備の要素の要件を[Every time(毎回)]に設定します。動作条件をper device(デバイスごと)またはper session(セッションごと)の予備の要素の要件と組み合わせないでください。 Okta Admin Consoleで毎回再認証することをお勧めします。 |
|
[Low(低)]、[Medium(中)]、または[High(高)]のリスクレベルを選択します。[High(高)]を選択した場合は、予備の要素の要件を[Every time(毎回)]に設定します。高リスクレベルをper device(デバイスごと)またはper session(セッションごと)の予備の要素の要件と組み合わせないでください。 「リスクスコアリング」を参照してください。 |
|
前のドロップダウンリストの認証フォームに基づいて、このフォームを使って条件がアクセスを許可するか、拒否するかを決定します。 | |
[Authentication(認証)] |
多要素認証が必要かどうかを示します。 |
[Users will authenticate with(ユーザーの認証方法)] |
ユーザーの認証方法を選択します。
|
[Users will be prompted for MFA(ユーザーにMFA用のプロンプトを表示)] |
ユーザーにMFAの使用が求められる場合に、使用を促すプロンプトをいつ表示するかを示します。
|
[Session Lifetime(セッションライフタイム)] |
Oktaセッションの長さを構成します。 |
[Maximum Okta session lifetime(最大Oktaセッションライフタイム)] |
Oktaセッションライフタイムを構成します。
Admin Consoleのセッションライフタイムは、このグローバル設定とは独立して設定できます。<MadCap:conditionalText data-mc-conditions="MultiProdPublish.Classic">「Admin Consoleセッションライフタイムを構成する」を参照してください。</MadCap:conditionalText> |
[Expire session after user has been idle on Okta for(ユーザーがOktaで次の間アイドル状態になった後にセッションを期限切れにする)] |
Okta最大セッションライフタイムに関係なく、Oktaセッションが自動的に期限切れになるまでのアイドル時間を構成します。
Admin Consoleのタイムアウトは、このグローバル設定とは独立して設定できます。<MadCap:conditionalText data-mc-conditions="MultiProdPublish.Classic">「Admin Consoleセッションライフタイムを構成する」を参照してください。</MadCap:conditionalText> |
[Persist session cookies across browser sessions(ブラウザーセッション間でセッションクッキーを保持)] |
ブラウザーセッション間でのセッションCookieの保持を有効化または無効化します。ドロップダウンリストからオプションを選択します。
|
Okta Sign-on Policyを作成したら、新しいポリシーを有効化するために、すべてのアクティブセッションを閉じる必要があります。Okta Sign-on Policyは、APIトークンの有効性やライフタイムには影響しません。「Okta APIトークンを管理する」を参照してください。
セッションライフタイムの最大値は、Okta APIを通じて設定できます。過去にAPIを使ってこの値を設定した場合、その最大値をOktaアプリで上回ることはできません。APIの最大値を上回る値を設定すると、エラーになります。
ユニバーサルOkta Sign-on Policyアクション
- 好みの優先度の順にポリシーをドラッグアンドドロップします。
- 好みの順にポリシー内のルールをドラッグアンドドロップします。
- [Add New Okta Sign-on Policy(新しいOktaサインオンポリシーを追加)]を選択してポリシーを追加します。
Oktaサインオンポリシーを編集する
1つのポリシーに対して次のアクションを実行できます。リストからポリシーを選択して開始します。
- 選択したポリシーをアクティブ化または非アクティブ化します。ポリシーを非アクティブ化した場合、そのポリシーはどのユーザーにも適用されませんが、後で再アクティブ化できます。
- ポリシーを編集するには、[Edit(編集)]をクリックします。
- ポリシーを削除するには、[Delete(削除)]をクリックします。デフォルトのポリシーは削除できません。
- 選択したポリシーにルールを追加するには、[Add Rule(ルールを追加)]をクリックします。ポリシー内で、ルールをアクティブ化、非アクティブ化、編集、または削除できます。
- ルールの詳細を表示するには、[Add Rule(ルールを追加)]でルール名をクリックします。
認証前サインオン評価ポリシー
ユーザーがAuthN APIを使ってサインインすると、パスワードやその他の要素の検証の前にサインオンポリシーが評価されます。この評価は、org全体で発生するアカウントロックアウトの回数を減らす上で役立ちます。
サインオンポリシーが[deny(拒否)]に設定されている場合、「Authentication failed(認証に失敗しました)」という一般的なエラーでユーザーのサインオン試行は拒否されます。このシナリオでは、失敗ログインのカウンターは増加しません。代わりに認証前サインオンポリシー評価を示すログイベントがトリガーされます。
- このバックエンド機能を有効化するために、Admin ConsoleでUIを変更したり、設定を行う必要はありません。
- このポリシーは、JITプロビジョニングを使用するように構成された新規作成アカウントの初期認証では機能しません。エンドユーザーアカウントはOktaに存在する必要があります。
- このポリシーは、拒否された場所からユーザーが資格情報をリセットすることを妨げません。