パスワードAuthenticatorの構成

このAuthenticatorを使用すると、ユーザーがOktaまたはアプリにサインインするときにパスワードを使用するように強制できます。複雑性の要件をカスタマイズしたり、グループや個人にパスワードルールを適用したり、ロックアウト条件を設定したりできます。エンドユーザーは、パスワードを忘れた場合には、ヘルプデスクのサポートなしにパスワードをリセットできます。

パスワードAuthenticatorは、Oktaユーザーに対してデフォルトでアクティブになっています。パスワードAuthenticatorを使用するには、パスワードポリシーとルールを構成する必要があります。

このAuthenticatorは知識要素であり、ユーザーの存在の要件を満たします。「多要素認証」を参照してください。

はじめに

  • パスワードポリシーでグループを使用する場合は、グループを作成します。「グループを管理する」を参照してください。
  • パスワードポリシーでネットワークゾーンを使用する場合は、ネットワークゾーンを作成します。「ネットワークゾーンを構成する」を参照してください。

パスワードポリシーを追加する

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。

  2. [設定]タブで、[パスワード]アイテムの[Actions(アクション)][Edit(編集)]をクリックします。
  3. [Add New Password Policy(新しいパスワードポリシーを追加)]をクリックします。

構成オプション

  1. パスワードポリシーの条件を設定します。

    フィールド

    Policy name(ポリシー名) このポリシーのわかりやすい名前を入力します。
    Policy description(ポリシーの説明) このポリシーの内容と適用対象の説明を入力します。
    Add group(グループを追加)このポリシーが適用されるユーザーのグループを入力します。
    Applies to(次に適用:) 認証プロバイダーを選択します。
    Minimum length(最小の長さ)パスワードの最小文字数を指定します。

    最小の長さは4文字です。最大の長さは30文字です。

    Complexity requirements(複雑さの要件) パスワードをより複雑にするためにさまざまな種類の文字やその他の属性を使用することを要求します。

    ADをソースとするユーザーがいるときは、Active Directoryのパスワード要件を使用できます。

    Common password check(よく使われるパスワードをチェック)ユーザーが「Password」や「11111111」などのよく使われるパスワードを選択できないようにします。Oktaでは、ユーザーが選択したパスワードは一般的に使用される100万個のパスワードのリストと照合してチェックされます。大文字と小文字を区別した照合と組み合わせると、このリストは25億個以上の一般的なパスワードをカバーします。
    Password age(パスワードの有効期間)ユーザーがパスワードを使用できる期間、パスワードを再利用できる頻度、パスワードの変更を求めるタイミングを制御するオプションを構成します。
    • Enforce password history for last(最後のパスワード履歴を記録):ユーザーによって異なるパスワードが何個作成されたら以前のパスワードの再利用を可能にするかを指定します。これにより、ユーザーは指定された期間、以前のパスワードを再利用できなくなります。この設定は、1~30個のパスワードに構成できます。
    • Minimum password age is(パスワードの変更禁止期間) :パスワードの変更に必要な最小時間間隔を入力します。この設定により、ユーザーはパスワード履歴の記録の要件を回避できなくなります。この設定は、最大で9,999分に構成できます。
    • Password expires after(次の経過後にパスワードの有効期限が切れます) :パスワードの変更が必要になるまでの有効期間の日数を入力します。ユーザーのパスワードの有効期限が切れた場合、Oktaにサインインするにはパスワードを変更する必要があります。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。

      [For AD and LDAP sourced users(ADおよびLDAPをソースとするユーザーの場合)][Password expires after(パスワードの有効期限)]設定は表示されません。有効期限は異なる場合があり、ADとLDAPからインポートされます。

    • Prompt user(ユーザーにプロンプトを表示):パスワードの有効期限の何日前にパスワードの変更をユーザーに求めるかを入力します。ユーザーはプロンプトが表示されたときにパスワードを変更するか、有効期限まで待つことができます。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。
    Lock out(ロックアウト)次のオプションを構成します:
    • アカウントがロックされるまでに誤ったパスワードを入力できる回数。
    • アカウントがロックされるまでの時間。
    • アカウントがロックされたときに、ロックアウトエラーのメールをユーザーに送信する。

    不明なデバイスからの不審なパスワード試行をブロックする」を参照してください。

    ADおよびLightweight Directory Access Protocol(LDAP)のロックアウトを防止するために、試行失敗回数が、ADおよびLDAPで構成されたサインイン試行失敗の制限よりも少ないことを確認します。

  2. [Create Policy(ポリシーを作成)]をクリックします。
  3. ポリシーリストでポリシーを選択します。
  4. [Add Rule(ルールを追加)]をクリックします。

  5. 次のオプションを構成します。

    フィールド

    Rule Name(ルール名) ルールの名前を入力します。
    xclude users(ユーザーを除外) 除外するユーザーの名前を入力します。
    IF User's IP is(ユーザーのIPが次の場合)
    • [Anywhere(任意の場所)]:IPアドレスがパブリックゲートウェイIPリストに載っているかどうかに関わらずすべてのユーザーにルールを適用します。
    • [In zone(ゾーン内)]:すべての、または特定のネットワークゾーンのユーザーにルールを適用します。
    • [Not in zone(ゾーン外)]:すべての、または特定のゾーンのユーザーを除外してルールを適用します。

    パブリックゲートウェイIPリストとその他のIPゾーン機能の詳細については、「ネットワークゾーン」を参照してください。

    THEN User can perform self-service(ユーザーは次をセルフサービスで実行可能)
    • [Password change (from account settings)(パスワード変更(アカウント設定から))]:ユーザーが[perform self-service password reset(セルフサービスによるパスワードのリセットを行う)]オプションを使用してパスワードを変更することを許可します。
    • [Forgot resets(パスワードリセット)]:ユーザーがSign-In Widgetの[forgot password?(パスワードを忘れた場合)]リンクを使用してセルフサービスによるパスワードリセットを実行することを許可します。
    • [Unlock account(アカウントロック解除)]: ユーザーがSign-In Widgetの[Unlock account?(アカウントのロックを解除しますか?)]をクリックして、アカウントのロックを解除できるようにします。このオプションを選択すると、LDAPをソースとするOktaユーザーアカウントはOktaではロック解除されますが、オンプレミスLDAPインスタンスではロックされたままになります。セルフサービスのロック解除を許可しない場合は、「ユーザーのパスワードをリセットする」で他のオプションを参照してください。
    AND Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)
    • [Okta Verify(プッシュ通知のみ)]:ユーザーがOkta Verifyのプッシュ通知を使用して復旧を開始できるようにします。「Okta Verify Authenticatorの構成」を参照してください。
    • [Phone(電話)]:ユーザーがテキストメッセージまたは通話で復旧を開始できるようにします。「電話Authenticatorの構成」を参照してください。
    • [Email(メール)]:ユーザーがワンタイムパスワードまたはマジックリンクが記載されたメールメッセージを使用して復元を開始できるようにします。「メールAuthenticatorを構成する」を参照してください
    • Google Authenticator:ユーザーがGoogle Authenticatorからのワンタイムパスコードを使用してリカバリを開始できるようにします。「Google Authenticator」を参照してください。
    AND Additional verification is(追加の検証に関する設定)
    • [Not required(不要)]:復旧中にユーザーからの追加の検証を必要としません。
    • [MFA/SSO: Allow users to use any enrolled authenticator(MFA/SSOに使用される任意の登録済みAuthenticator)]:ユーザーが復旧のために任意の登録済みAuthenticatorを使用できるようにします。
    • [Only Security Question(秘密の質問のみ)]:ユーザーが秘密の質問のみを復旧に使用できるようにします。「秘密の質問によるAuthenticatorの構成」を参照してください。

    管理者は、ユーザーがパスワードを入力する前に認証チャレンジを完了する必要があるかどうかを判断できます。認証ポリシー ルールで、[AND User must authenticate with(ユーザーが認証に使用する要素)]オプションを構成します。「認証ポリシールールを追加する」を参照してください。

  6. [Create Rule(ルールを作成)]をクリックします。

パスワードAuthenticatorをAuthenticator登録ポリシーに追加する

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。

  2. [Enrollment(登録)]タブをクリックします。
  3. Authenticatorを新規または既存のAuthenticator登録ポリシーに追加します。「Authenticator登録ポリシーを作成する」を参照してください。

パスワードポリシーとルールを編集または削除する

パスワードAuthenticatorを編集または削除することはできませんが、それに関連付けられているポリシーを編集または削除することはできます。このAuthenticatorのポリシーを編集または削除する前に、このAuthenticatorを使用する既存のAuthenticator登録、認証、グローバルセッションポリシーの更新が必要になる場合があります。

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。

  2. [Setup(設定)]タブで、[Password(パスワード)]アイテムの[Actions(アクション)][Edit(編集)]をクリックします。
  3. リストからポリシーを選択して、その[Edit(編集)]および[Delete(削除)]オプションを表示します。
  4. ポリシーのルールを選択して、そのオプションを表示します。編集するには、鉛筆アイコンをクリックします。削除するには、[X]をクリックします。

エンドユーザーエクスペリエンス

パスワードなしの認証向けに認証ポリシールールが有効になっていない限り、エンドユーザーは常にパスワードの入力を求められます。ADでは、ロックアウトされたユーザーがセルフサービスによるアカウントロック解除を使用できますが、ロックされたLDAPソースアカウントのロックを解除できるのは管理者のみです。

関連項目

セルフサービスのアカウント復旧

多要素認証