パスワードオーセンティケーターの構成
パスワードオーセンティケーターを使用すると、ユーザーがOktaまたはいずれかのアプリにサインインするときに、パスワードの提供を求めることができます。ユーザーがパスワードを忘れた場合にリセットできるようにすることもできます。
パスワードは、ユーザーがサインインウィジェットのパスワードフィールドに入力する文字列です。管理者は、必要なパスワードの複雑さをカスタマイズしたり、パスワードの有効期間、履歴を構成したり、ロックアウト条件を有効にしたりできます。
パスワード認証はデフォルトでアクティブになっています。パスワードオーセンティケーターを使用するには、パスワードのポリシーとルールを構成します。
パスワードポリシーの構成
- 管理コンソールで、 に移動します。
- [Setup(セットアップ)]タブのオーセンティケーターのリストで[Password(パスワード)]の項目を見つけて、[Actions(アクション)]>[Edit(編集)]をクリックします。
- Oktaにはカスタマイズ可能なデフォルトポリシーが用意されていますが、独自のポリシーを作成することもできます。
- デフォルトポリシーをカスタマイズするには、リストで[Default Policy(デフォルトポリシー)]を選択し、[Edit(編集)]をクリックします。
- 独自のパスワードポリシーを作成するには、[Add New Password Policy(新しいパスワードポリシーを追加)]をクリックし、次のフィールドに入力します。
- [Policy name(ポリシー名)]:このポリシーのわかりやすい名前を入力します。
- [Policy description(ポリシーの説明)]:このポリシーの内容と適用対象の説明を入力します。
- [Add group(グループを追加)]:ポリシーが適用されるユーザーのグループの名前を入力します。入力を開始すると、テキストに一致するグループの候補が表示されます。リストから目的のグループを選択します。ユーザーのグループの作成については、「グループについて」を参照してください。
- [Applies To(適用先)]:このパスワードポリシーを適用する認証プロバイダーを選択します。
- [Password settings(パスワード設定)]オプションを構成します。
- [Minimum length(最小の長さ)]:パスワードの最小文字数を指定します。
- [Complexity requirements(複雑さの要件)]:パスワードにさまざまな種類の文字やその他の属性を使用することを要求します。
- [Password age(パスワードの有効期間)]:ユーザーがパスワードを使用できる期間、パスワードを再利用できる頻度、パスワードの変更を求めるタイミングを制御するオプションを選択します。
- [Lock out(ロックアウト)] :以下のオプションを構成します。
- アカウントがロックされるまでに誤ったパスワードを入力できる回数。
- アカウントがロックされるまでの時間。
- アカウントがロックされたときに、ロックアウトエラーのメールをユーザーに送信する。
Active Directory(AD)およびLightweight Directory Access Protocol(LDAP)のロックアウトを防ぐために、[Lock out user after <#> unsuccessful attempts(ユーザーがロックアウトされるまでの試行失敗回数)]の値が、ADおよびLDAPで構成されたサインイン試行の失敗の制限よりも小さいことを確認してください。たとえば、ADおよびLDAPでWindowsサインインの最大試行失敗回数が10回に設定されている場合、Oktaではサインインの最大失敗回数を9回に設定することをお勧めします。ユーザーがOktaで設定されたサインイン制限を超えた場合、追加の試行失敗はADまたはLDAPに送信されないため、ユーザーが自分のWindowsアカウントからロックアウトされることを防ぐことができます。ADでは、ロックアウトされたOktaユーザーはセルフサービスのアカウントのロック解除を使用するか、Okta管理者にサポートを求めることができます。ロックされたLDAPソースアカウントのロックを解除できるのは、管理者だけです。
- 新しいポリシーを作成した場合は[Create Policy(ポリシーを作成)]をクリックし、デフォルトまたは既存のポリシーを編集した場合は[Update Policy(ポリシーを更新)]をクリックします。
- このポリシーのルールを作成します。手順については、「パスワードポリシールールの追加 」を参照してください。
パスワードポリシールールの追加
パスワードポリシールールを利用することで、次の構成が可能になります。
- ユーザーはどのセルフサービスアクションを利用できるか。
- ユーザーが復旧を開始する方法。
- 復旧中に追加の検証を求めるかどうか。
- パスワードポリシーからどの個人ユーザーを除外するか。
- 指定するネットワークゾーンからOktaへのアクセスを試みるユーザーに対する制限。
- 管理コンソールで、 に移動します。
- [Setup(セットアップ)]タブのオーセンティケーターのリストで[Password(パスワード)]の項目を見つけて、[Actions(アクション)]>[Edit(編集)]をクリックします。
- ルールを追加するパスワードポリシーを選択し、[Add rule(ルールを追加)]をクリックします。
- 以下のフィールドに入力し、オプションを選択します。
- [Rule Name(ルール名)]:ルールの名前を入力します。
- [Exclude Users(ユーザーの除外)]:ルールから除外するユーザーの名前を入力します。入力を開始すると、テキストに一致するユーザー名の候補が表示されます。リストから目的のユーザーを選択します。除外するユーザーごとにこれを繰り返します。
- [User's IP(ユーザーのIP)]が以下の場合:
- [Anywhere(任意の場所)]:IPアドレスがパブリックゲートウェイIPリストに載っているかどうかに関わらずすべてのユーザーにルールを適用します。
- [In zone(ゾーン内)]:すべての、または特定のネットワークゾーンのユーザーにルールを適用します。
- [All Zones(すべてのゾーン)]:このルールをすべてのゾーンのユーザーに適用するには、このチェックボックスを選択します。
- [Zones(ゾーン)]:指定したネットワークゾーン内のユーザーにこのルールを適用します。ゾーンの名前の入力を開始します。入力すると、Oktaがテキストに一致するゾーン名を提案します。リストから目的のゾーンを選択します。追加するゾーンごとにこれを繰り返します。
- [Not in zone(ゾーンにない)]:すべての、または特定のゾーンのユーザーを除外してルールを適用します。
- [All Zones(すべてのゾーン)]:すべてのゾーンのユーザーを除外するには、このチェックボックスを選択します。
- [Zones(ゾーン)]:指定したネットワークゾーン内のユーザーを除外するには、このルールを適用します。ゾーンの名前の入力を開始します。入力すると、Oktaがテキストに一致するゾーン名を提案します。リストから目的のゾーンを選択します。追加するゾーンごとにこれを繰り返します。
パブリックゲートウェイIPリストとその他のIPゾーン機能の詳細については、「ネットワークゾーン」を参照してください。
- [User can perform self-service(ユーザーは次をセルフサービスで実行可能)]:
- [Password change (from account settings)(パスワード変更(アカウントの設定から))]:ユーザーがパスワードを変更することを許可し、[perform self-service password reset(セルフサービスによるパスワードリセットを実行)]オプションを利用できるようにします。
- [Password reset(パスワードリセット)]:サインインできないユーザーやパスワードを忘れたユーザーが、セルフサービスによるパスワードリセットを実行することを許可し、Okta Sign-in Widgetに[Forgot password?(パスワードを忘れた場合)]リンクを表示します。
- [Unlock account(アカウントロック解除)]: ユーザーがOkta Sign-in Widgetの[Unlock account?(アカウントのロックを解除しますか?)]をクリックして、アカウントのロックを解除できるようにします。
このオプションを選択すると、LDAPをソースとするOktaユーザーアカウントはOktaではロック解除されますが、オンプレミスLDAPインスタンスではロックされたままになります。セルフサービスのロック解除を許可しない場合は、「ユーザーのパスワードをリセットする」で他のオプションを参照してください。
- ユーザーが復旧を開始し、追加の検証を提供する方法を構成します。
- AND[Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]:
- [Okta Verify (Push notification only)(Okta Verify(プッシュ通知のみ))]:ユーザーがOkta Verifyのプッシュ機能を使用して復旧を開始できるようにします。「Okta Verifyオーセンティケーターの構成」を参照してください。
- [Phone (SMS / Voice call)(電話(SMS/音声通話))]:ユーザーがテキストメッセージまたは音声通話で復旧を開始できるようにします。「電話オーセンティケーターの構成」を参照してください。
- [Email(メール)]:ユーザーがワンタイムパスワードまたはマジックリンクが記載されたメールメッセージを使用して復元を開始できるようにします。「メールオーセンティケーターを構成する」を参照してください。
- AND[Additional verification is(追加の検証に関する設定)]:
- [Not required(不要)]:復旧中にユーザーからの追加の検証を必要としない場合は、このオプションを選択します。
- [Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用される任意の登録済みオーセンティケーター)]:ユーザーが復旧のために任意の登録済みオーセンティケーターを使用できるようにします。
- [Only Security Question(セキュリティ上の質問のみ)]:ユーザーがセキュリティ上の質問のみを復旧に使用できるようにします。「秘密の質問オーセンティケーターの構成」を参照してください。
管理者は、ユーザーがパスワードを入力する前に認証チャレンジを完了する必要があるかどうかを判断できます。認証ポリシー ルールで、AND [User must authenticate with(ユーザーが認証に使用する要素)]オプションを構成します。「認証ポリシールールを追加する」を参照してください。
- AND[Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]:
- [Create Rule(ルールを作成)]をクリックします。
エンドユーザーエクスペリエンス
エンドユーザーは、パスワードポリシーの構文、最小の長さ、有効期間および履歴の要件に従ってOktaパスワードを作成します。パスワードなしの認証向けに認証ポリシールールが有効になっていない限り、エンドユーザーは常にパスワードの入力を求められます。
現在の制限
- ADユーザーはサポートされません。
- 認証をADに委任することはできません。
- パスワードの有効期限が切れる前に、ユーザーに警告メッセージを送信することはできません。
- アカウントのリセット/ロック解除の復旧メールに有効期限を構成することはできません。