サインインしたままにする
早期アクセスリリース。「早期アクセス機能とBeta機能を管理する」を参照してください。
[Stay signed in(サインインしたままにする)]を使用すると、ユーザーはブラウザーを閉じて開き直した後も継続するOktaセッションを確立できます。サインインしたままにすることを選択したユーザーは、グローバルセッションポリシー定められた時間、MFAを再度求められることはありません。
[Stay signed in(サインインしたままにする)]オプションをユーザーに提供する方法は2つあります。デフォルトでは、ユーザーが資格情報を入力するときにサインインウィジェットに表示されます。ユーザーが認証した後にプロンプトが表示されるように構成することもできます。この構成は、代理認証またはIDプロバイダーを使用しているorgに推奨されます。このようなorgのユーザーは、サインインウィジェットの資格情報入力ページをバイパスする可能性があるからです。
[Stay signed in(サインインしたままにする)]は、プライベートデバイスまたはネットワークを使用するユーザーに推奨されます。資格情報が侵害された可能性があると疑っているユーザーは、アカウント設定ですべてのセッションを終了できます。
はじめに
任意。ユーザーをブラウザーセッションにまたがってサインインしたままにする場合は、usePersistentCookieオプションを有効にします。「APIトークンを作成」を参照してください。
機能を構成する
- Admin Consoleで、 の順に進みます。
- [Organizational Security(組織のセキュリティ)]セクションで[Edit(編集)]をクリックします。
-
[Stay signed in(サインインしたままにする)]をサインイン ウィジェットにのみ表示するには、この機能を有効にしてから[Before users sign in(ユーザーがサインインする前)]を選択します。これはデフォルト設定です。
-
[Stay signed in(サインインしたままにする)]をサインイン ウィジェットに加えて、ユーザーが認証した後も表示するには、この機能を有効にしてから[Before and after users signed in(ユーザーがサインインする前後)]を選択します。このオプションは、代理認証またはIDプロバイダーを使用しているorgに推奨されます。
-
[Stay signed in(サインインしたままにする)]オプションを非表示にするには、[Not Enabled(有効にしない)]を選択します。
-
[Save(保存)]をクリックします。
ポリシーを変更する
グローバルセッションポリシーと認証ポリシーのルールを[Stay signed in(サインインしたままにする)]機能に必ず対応させてください。
-
グルーバルセッションポリシーを作成するか、 グルーバルセッションポリシーを編集します。
-
次のルール条件を設定します。
-
[Multifactor authentication (MFA) is(多要素認証(MFA))]:必要
-
[Users will be prompted for MFA(ユーザーにMFA用のプロンプトを表示)]:[When signing in with a new device cookie(新しいデバイスCookieでサインインする場合)]または[After MFA lifetime expires for the device cookie(デバイスCookieのMFAのライフタイムが期限切れになった後)]を選択します。
-
[Okta global session cookies persist across browser sessions(ブラウザーセッション間でOktaグローバルセッションCookieを保持)]:このオプションは、APIでusePersistentCookieを有効にした場合に使用できます。
-
-
[Stay signed in(サインインしたままにする)]機能をアプリに拡張するには、その認証ポリシーを更新します。
-
次のルール条件を設定します。
-
[User must authenticate with(ユーザーが使用する認証方法)]:[2 factor types(2要素タイプ)](いずれかのオプション)を選択します。
-
[Re-authentication frequency is(再認証の頻度)]:[Never re-authenticate if the session is active(セッションがアクティブの場合は再認証しない)]を選択します。
-
ユーザーエクスペリエンス
標準認証フローでは、ユーザーはサインインウィジェットにユーザー名を入力した後に[Stay signed in(サインインしたままにする)]を選択してから、MFAオプションを指定して認証を完了します。ユーザーはorgに次回アクセスしたときにMFAを求められず、[Stay signed in(サインインしたままにする)]オプションは表示されません。
統合認証フローでは、orgのサインインページにアクセスしたユーザーは、[Stay signed in(サインインしたままにする)]を選択する前にIDプロバイダーにリダイレクトされる場合があります。[Before and after users sign in(ユーザーがサインインする前後)]オプションを有効にした場合、これらのユーザーには、Oktaに再度リダイレクトされたときにも[Stay signed in(サインインしたままにする)]プロンプトが表示されます。ユーザーがプロンプトを確認したら、[Stay signed in(サインイン状態を維持する)]機能が有効になり、ユーザーが次回サインインするときに表示されません。
ユーザーは、アカウント設定メニューに移動して[Stay signed in(サインインしたままにする)]オプションが表示されます。
を選択することで、すべてのセッション(現在のセッションを含む)を手動でサインアウトできます。ユーザーがorgに次回アクセスしたときには、