アプリのサインオンポリシーの移行

Okta Identity Engine認証ポリシーには、Okta Classic Engineのアプリサインオンポリシーと同様のパラメーターがありますが、いくつかの重要な違いがあります。次の表で、Okta Classic EngineOkta Identity Engine認証ポリシールールの構成タスクについて説明します。

タスク

Okta Classic Engine

Okta Identity Engine

ルールに名前を付ける ルール名 ルール名
このルールを適用するユーザーを指定する
  • このアプリに割り当てられているすべてのユーザー(デフォルト)
  • グループを選択
  • ユーザーを選択
  • グループを除外
  • ユーザーを除外
  • このアプリに割り当てられている任意のユーザータイプ(デフォルト)
  • グループを選択
  • ユーザータイプを選択

ユーザーの選択とユーザー/グループの除外の両方が移行されますが、新しく作成するルールでは構成可能な条件として表示されません。

ユーザーがアプリにアクセスするのに必要な場所を指定する ユーザーが次の場所にいる場合:
  • すべての場所(任意のIP)
  • ゾーン内(特定)
  • ゾーン外
ユーザーのIP:
  • 任意のIP
  • Oktaで定義された任意のネットワークゾーン
  • 次のいずれかのゾーン(ゾーンを指定)

ゾーン外の除外は、Okta Classic Engineから移行されますが、新しく作成するルールでは構成可能な条件として表示されません。

クライアントまたはデバイスを構成する クライアントアクセスポリシー(CAP)に従って、特定のプラットフォームにルールを適用します。

信頼できるデバイスと信頼できないデバイスにルールを適用します。

CAPは移行されますが、デバイスを信頼するルールと信頼しないルールは移行されません。登録済みデバイスおよび未登録のデバイスに対して新しいルールを作成する必要があります。
許容可能なリスクスコアを示す Okta Classic Engineのアプリサインオンポリシーでは使用できません。 このルールは、特定のリスクスコアを持つアプリサインオンイベントにのみ適用します。
カスタム式 Okta Classic Engineのアプリサインオンポリシーでは使用できません。 このルールは、カスタム式がtrueの場合にのみ適用します。

アクセス

すべての条件が満たされた場合のアクセスは次のとおりです。
  • 許可
  • 拒否済み
すべての条件が満たされた場合のアクセスは次のとおりです。
  • 拒否済み
  • 認証の成功後に許可
認証要件
  • パスワードの再認証を求める(期間)
  • 要素の入力を求める(頻度)
アプリにアクセスするためのアシュアランス要件を適用します。
  • ユーザーに再認証を求めるタイミングを指定する
  • パスワードの選択では、パスワードの再認証とパスワード以外の再認証の期間を指定します。

Okta Identity Engineポリシーに対する最も重要な追加機能はアシュアランス要件です。認証ポリシーのすべての条件を満たすユーザーは、適切なアシュアランス要件のみでアプリに対する認証を行います。Okta Identity Engineのその他の機能強化には、リスクスコアリングとカスタム式が含まれ、ユーザーがアクセスを許可される前に、カスタマイズされたセキュリティレベルを確実に満たすようにします。Okta Classic Engine管理者はアプリのサインオンポリシーでユーザーとグループを除外できましたが、Okta Identity Engineでは、新しいルールで除外オプションを使用することはできません。

Okta Classic EngineからOkta Identity Engineへの移行シナリオ

Okta Classic Engineでアプリサインオンポリシーをセットアップすると、デフォルトですべてのクライアントオプションが選択されます。ユーザーが誰であるか、どのグループに属しているか、デバイスのクライアントとプラットフォーム、およびユーザーがネットワークに接続しているかどうかに基づいて、ルールを追加します。

Okta Identity Engineにアップグレードすると、Okta Classic Engineのアプリサインオンポリシーは、いくつかの条件付きで移行されます。

ポリシー名

Okta Identity Engineでは、移行されたポリシーには、適用されたアプリの名前が付けられます(<appname> policy)。Classic Engineで複数のアプリに同一のポリシーがあった場合、それらのポリシーは1つの共有ポリシーに統合されます。この統合されたポリシーでは、「Merged」というプレフィックスが付いた同じ名前構造が使用されます([Merged] <appname1>、<appname2>、<appname3>ポリシー)。

デフォルトポリシー

デフォルトのアプリサインオンポリシーを使用していたOkta Classic Engineのアプリは、デフォルトのキャッチオールルールが有効になっているOkta Identity Engine 認証ポリシーに移行されます。キャッチオールルールのみを使用するアプリでは、(グローバルセッションポリシーで必要とされる以上の)追加の認証なしで、アプリに割り当てられているすべてのユーザーへのアクセスが許可されます。

  • IF[User's type is(ユーザーのタイプ)]:[Any(任意)]
  • AND[User's group membership is(ユーザーのグループメンバーシップ)]:[Any(任意)]
  • AND[Device identity is(デバイスID)]:[Any(任意)]
  • AND[User's IP is(ユーザーのIP)]:[Any zone(任意のゾーン)]
  • AND[Risk(リスク)]:[Any(任意)]
  • AND[The following custom expression is true(次のカスタム式をtrueとする)]:[N/A]
  • THEN[Access is(アクセスの可否)]:[Allowed(許可)]
  • AND[User must authenticate with(ユーザーが使用する認証方法)]:[Any 1 factor type(任意の1要素タイプ)]
  • AND[Possession factor constraints are(所有要素の制約)]:[N/A]
  • [Okta Verify user interaction(Okta Verifyユーザーインタラクション)]:[Always required(常に必須)]
  • [Password re-authentication frequency is(パスワードの再認証の頻度)]:[Once per device(デバイスごとに1回)]

Okta Identity Engineのすべてのアプリのポリシーには、キャッチオールルールがあります。キャッチオールルールは編集できますが、アクセスをさらにカスタマイズするために、さらにルールを追加して優先順位を付けることができます。

再認証+要素の検証

再認証と要素の検証が有効になっているOkta Classic Engineのアプリサインオンポリシーは、パスワードと追加要素が有効になっているOkta Identity Engine 認証ポリシーに移行します。再認証の頻度は、Okta Classic Engineポリシーの期間によって決まります。たとえば、2時間ごとにパスワードの再認証を要求し、毎回要素を求めるOkta Classic Engineポリシーは、次のOkta Identity Engineポリシールールに移行されます。

  • IF[User's type is(ユーザーのタイプ)]:[Any(任意)]
  • AND[User's group membership is(ユーザーのグループメンバーシップ)]:[Any(任意)]
  • AND[Device identity is(デバイスID)]:[Any(任意)]
  • AND[User's IP is(ユーザーのIP)]:[Any zone(任意のゾーン)]
  • AND[Risk(リスク)]:[N/A]
  • AND[The following custom expression is true(次のカスタム式をtrueとする)]:[N/A]
  • THEN[Access is(アクセスの可否)]:[Allowed(許可)]
  • AND[User must authenticate with(ユーザーが使用する認証方法)]:[Password + Another factor(パスワード+別の要素)]
  • AND[Possession factor constraints are(所有要素の制約)]:[N/A]
  • [Okta Verify user interaction(Okta Verifyユーザーインタラクション)]:[Always required(常に必須)]
  • [Password re-authentication frequency is(パスワードの再認証の頻度)]:[2 hours(2時間)]
  • [Re-authentication frequency for all other factors is(ほかのあらゆる要素での再認証の頻度)]:[Every sign-in attempt(すべてのサインイン試行)]

再認証なしの多要素

再認証なしで毎回多要素を必要とするOkta Classic Engineのアプリサインオンポリシーは、Okta Classic Engineの設定と同等の再認証間隔で、認証に所有要素を必要とするOkta Identity Engine 認証ポリシーに移行します。

  • IF[User's type is(ユーザーのタイプ)]:[Any(任意)]
  • AND[User's group membership is(ユーザーのグループメンバーシップ)]:[Any(任意)]
  • AND[Device identity is(デバイスID)]:[Any(任意)]
  • AND[User's IP is(ユーザーのIP)]:[Any zone(任意のゾーン)]
  • AND[Risk(リスク)]:[N/A]
  • AND[The following custom expression is true(次のカスタム式をtrueとする)]:[N/A]
  • THEN[Access is(アクセスの可否)]:[Allowed(許可)]
  • AND[User must authenticate with(ユーザーが使用する認証方法)]:[Possession factor(所有要素)]
  • AND[Possession factor constraints are(所有要素の制約)]:[N/A]
  • [Okta Verify user interaction(Okta Verifyユーザーインタラクション)]:[Always required(常に必須)]
  • [Re-authentication frequency for all other factors is(ほかのあらゆる要素での再認証の頻度)]:[Every sign-in attempt(すべてのサインイン試行)]

関連項目

アプリのサインオンポリシー