パスワードAuthenticatorの構成
パスワードAuthenticatorを使用すると、ユーザーがOktaまたはいずれかのアプリにサインインするときに、パスワードの提供を求めることができます。ユーザーがパスワードを忘れた場合にリセットできるようにすることもできます。
パスワードは、ユーザーがSign-In Widgetのパスワードフィールドに入力する文字列です。管理者は、必要なパスワードの複雑さをカスタマイズしたり、パスワードの有効期間、履歴を構成したり、ロックアウト条件を有効にしたりできます。
パスワードAuthenticatorはデフォルトでアクティブになっています。パスワードAuthenticatorを使用するには、パスワードポリシーとルールを構成します。
パスワードポリシーの構成
- Admin Consoleで、 に移動します。
- [Setup(セットアップ)]タブのAuthenticatorのリストで[パスワード]の項目を見つけて、 をクリックします。
- Oktaにはカスタマイズ可能なデフォルトポリシーが用意されていますが、独自のポリシーを作成することもできます。
- デフォルトポリシーをカスタマイズするには、リストで[Default Policy(デフォルトポリシー)]を選択し、[Edit(編集)]をクリックします。
- 独自のパスワードポリシーを作成するには、[Add New Password Policy(新しいパスワードポリシーを追加)]をクリックし、次のフィールドに入力します。
- [Policy name(ポリシー名)]:このポリシーのわかりやすい名前を入力します。
- ポリシーの説明:このポリシーの内容と適用対象の説明を入力します。
- [Add Group(グループを追加)]:ポリシーが適用されるユーザーのグループの名前を入力します。入力を開始すると、テキストに一致するグループの候補が表示されます。リストから目的のグループを選択します。ユーザーのグループの作成については、「グループについて」を参照してください。
- [Applies To(適用先)]:このパスワードポリシーを適用する認証プロバイダーを選択します。
- [Password settings(パスワード設定)]オプションを構成します。
- 最小の長さ:パスワードの最小文字数を指定します。
- [Complexity requirements(複雑さの要件)]:パスワードにさまざまな種類の文字やその他の属性を使用することを要求します。
- [Password age(パスワードの有効期間)]:ユーザーがパスワードを使用できる期間、パスワードを再利用できる頻度、パスワードの変更を求めるタイミングを制御するオプションを選択します。
- [Lock out(ロックアウト)] :以下のオプションを構成します。
- アカウントがロックされるまでに誤ったパスワードを入力できる回数。
- アカウントがロックされるまでの時間。
- アカウントがロックされたときに、ロックアウトエラーのメールをユーザーに送信する。
Active Directory(AD)およびLightweight Directory Access Protocol(LDAP)のロックアウトを防ぐために、[Lock out user after <#> unsuccessful attempts(ユーザーがロックアウトされるまでの試行失敗回数)]の値が、ADおよびLDAPで構成されたサインイン試行の失敗の制限よりも小さいことを確認してください。たとえば、ADおよびLDAPでWindowsサインインの最大試行失敗回数が10回に設定されている場合、Oktaではサインインの最大失敗回数を9回に設定することをお勧めします。ユーザーがOktaで設定されたサインイン制限を超えた場合、追加の試行失敗はADまたはLDAPに送信されないため、ユーザーが自分のWindowsアカウントからロックアウトされることを防ぐことができます。ADでは、ロックアウトされたOktaユーザーはセルフサービスのアカウントのロック解除を使用するか、Okta管理者にサポートを求めることができます。ロックされたLDAPソースアカウントのロックを解除できるのは、管理者だけです。
- 新しいポリシーを作成した場合は[ポリシーを作成]をクリックし、デフォルトまたは既存のポリシーを編集した場合は[Update Policy(ポリシーを更新)]をクリックします。
- このポリシーのルールを作成します。手順については、「パスワードポリシールールの追加 」を参照してください。
パスワードポリシールールの追加
パスワードポリシールールを利用することで、次の構成が可能になります。
- ユーザーはどのセルフサービスアクションを利用できるか。
- ユーザーが復旧を開始する方法。
- 復旧中に追加の検証を求めるかどうか。
- パスワードポリシーからどの個人ユーザーを除外するか。
- 指定するネットワークゾーンからOktaへのアクセスを試みるユーザーに対する制限。
- Admin Consoleで、 に移動します。
- [Setup(セットアップ)]タブのAuthenticatorのリストで[パスワード]の項目を見つけて、 をクリックします。
- ルールを追加するパスワードポリシーを選択し、[Add Rule(ルールを追加)]をクリックします。
- 以下のフィールドに入力し、オプションを選択します。
- ルール名:ルールの名前を入力します。
- ユーザーを除外:ルールから除外するユーザーの名前を入力します。入力を開始すると、テキストに一致するユーザー名の候補が表示されます。リストから目的のユーザーを選択します。除外するユーザーごとにこれを繰り返します。
- IF User's IP is(ユーザーのIPが次の場合):
- [すべての場所]:IPアドレスがパブリックゲートウェイIPリストに載っているかどうかに関わらずすべてのユーザーにルールを適用します。
- [ゾーン内]:すべての、または特定のネットワークゾーンのユーザーにルールを適用します。
- [All Zones(すべてのゾーン)]:このルールをすべてのゾーンのユーザーに適用するには、このチェックボックスを選択します。
- [Zones(ゾーン)]:指定したネットワークゾーン内のユーザーにこのルールを適用します。ゾーンの名前の入力を開始します。入力すると、Oktaがテキストに一致するゾーン名を提案します。リストから目的のゾーンを選択します。追加するゾーンごとにこれを繰り返します。
- [ゾーン外]:すべての、または特定のゾーンのユーザーを除外してルールを適用します。
- [すべてのゾーン]:すべてのゾーンのユーザーを除外するには、このチェックボックスを選択します。
- [Zones(ゾーン)]:指定したネットワークゾーン内のユーザーを除外するには、このルールを適用します。ゾーンの名前の入力を開始します。入力すると、Oktaがテキストに一致するゾーン名を提案します。リストから目的のゾーンを選択します。追加するゾーンごとにこれを繰り返します。
パブリックゲートウェイIPリストとその他のIPゾーン機能の詳細については、「ネットワークゾーン」を参照してください。
- [User can perform self-service(ユーザーは次をセルフサービスで実行可能)]:
- [Password change (from account settings)(パスワード変更(アカウント設定から))]:ユーザーがパスワードを変更することを許可し、[セルフサービスによるパスワードのリセットを行う]オプションを利用できるようにします。
- [Password reset(パスワードリセット)]:サインインできないユーザーやパスワードを忘れたユーザーが、セルフサービスによるパスワードリセットを実行することを許可し、Sign-In Widgetに[パスワードを忘れた場合]リンクを表示します。
- [Unlock account(アカウントロック解除)]: ユーザーがSign-In Widgetの[Unlock account?(アカウントのロックを解除しますか?)]をクリックして、アカウントのロックを解除できるようにします。
このオプションを選択すると、LDAPをソースとするOktaユーザーアカウントはOktaではロック解除されますが、オンプレミスLDAPインスタンスではロックされたままになります。セルフサービスのロック解除を許可しない場合は、「ユーザーのパスワードをリセットする」で他のオプションを参照してください。
- ユーザーが復旧を開始し、追加の検証を提供する方法を構成します。
- AND[Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]:
- [Okta Verify (Push notification only)(Okta Verify(プッシュ通知のみ))]:ユーザーがOkta Verifyのプッシュ機能を使用して復旧を開始できるようにします。「Okta Verify Authenticatorの構成」を参照してください。
- [Phone (SMS / Voice call)(電話(SMS/通話))]:ユーザーがテキストメッセージまたは通話で復旧を開始できるようにします。「電話認証」を参照してください。
- [Email(メール)]:ユーザーがワンタイムパスワードまたはマジックリンクが記載されたメールメッセージを使用して復元を開始できるようにします。「メールAuthenticatorを構成する」を参照してください
- Google Authenticator:ユーザーがGoogle Authenticatorからのワンタイムパスコードを使用してリカバリを開始できるようにします。「Google Authenticator」を参照してください。
- AND追加の検証に関する設定:
- [Not required(不要)]:復旧中にユーザーからの追加の検証を必要としない場合は、このオプションを選択します。
- [Any enrolled Authenticator used for MFA/SSO(MFA/SSOに使用される任意の登録済みAuthenticator)]:ユーザーが復旧のために任意の登録済みAuthenticatorを使用できるようにします。
- [Only Security Question(セキュリティ質問のみ)]:ユーザーがセキュリティ質問のみを復旧に使用できるようにします。「セキュリティ質問Authenticatorの構成」を参照してください。
管理者は、ユーザーがパスワードを入力する前に認証チャレンジを完了する必要があるかどうかを判断できます。認証ポリシー ルールで、AND [User must authenticate with(ユーザーが認証に使用する要素)]オプションを構成します。「認証ポリシールールを追加する」を参照してください。
- AND[Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]:
- [Create Rule(ルールを作成)]をクリックします。
ロックアウトについて
AD/LDAPソフトロック
Oktaには、ADおよびLDAPをソースとするユーザーが、Oktaサインイン試行の失敗回数が多すぎるためにWindowsアカウントおよびハードウェアデバイスからロックアウトされることを防ぐ機能があります。この機能は、悪意のある第三者がOktaを使用してユーザーをロックアウトすることを防ぐためにも役立ちます。
Active DirectoryおよびLDAPのロックアウトを防ぐために、[Lock out user after <#> unsuccessful attempts(<#>回失敗した後にロックアウト)]に入力した数が、ADおよびLDAPで構成されたサインイン試行の失敗の制限よりも小さいことを確認してください。たとえば、ADおよびLDAPでWindowsサインイン試行の最大失敗回数が10回に設定されている場合、Oktaではサインインの最大失敗回数を9回に設定することをお勧めします。ユーザーがOktaで設定されたサインイン制限を超えた場合、さらに失敗した試行はADまたはLDAPに送信されません。これにより、ユーザーが自分のWindowsアカウントからロックアウトされることを防ぐことができます。ADでは、ロックアウトされたOktaユーザーはセルフサービスによるアカウントのロック解除を使用するか、Okta管理者にサポートを求めることができます。ロックされたLDAPソースアカウントのロックを解除できるのは、管理者のみです。
不明なデバイスによるロックアウトの検知
Oktaでは、OktaをソースとするユーザーがOktaサインインの複数回の試行失敗によるOktaアカウントからロックアウトを防止することもできます。この機能により、不明なデバイスからの不審なサインイン試行をブロックできます。Oktaは、サインイン試行が既知のデバイスからのものか、不明なデバイスからのものかを検出できます。既知のデバイスとは、以前にOktaへのサインインに使用されたことがあるデバイスです。不明なデバイスとは、Oktaへのサインインに使用されたことがないデバイスです。
失敗したサインイン試行が不明なデバイスによるものであるとOktaによって判断された場合、不明なデバイスからの新たなサインイン試行はロックされますが、既知のデバイスからのサインインは許可されます。これにより、不正なパーティによってOktaユーザーのアカウントへのアクセスが妨害されることを防ぎ、アカウントの保護を高められます。
管理者がカスタマイズしていない場合、不明なデバイスによる最小ロックアウト時間は2時間です。ロックアウト中に新しいデバイスからサインインする必要がある正当なユーザーの場合、Oktaはセルフサービスによるアカウントロック解除フローを開始します(org管理者が機能を有効にしている場合)。ユーザーがアカウントのロックを解除すると、新しいデバイスからサインインできるようになります。
「不明なデバイスによるロックアウトの検知」を参照してください。
個々のユーザーが不明なデバイスを使ってサインインするのを許可することもできます。これは、ユーザーが前のデバイスを紛失した可能性があり、新しい不明なデバイスで初めてサインインする必要がある場合に役立ちます。手順については、「不明なデバイスのサインインを許可する」を参照してください。
エンドユーザーエクスペリエンス
エンドユーザーは、パスワードポリシーの構文・最小の長さ・有効期間・履歴の要件に従ってOktaパスワードを作成します。パスワードなしの認証向けに認証ポリシールールが有効になっていない限り、エンドユーザーは常にパスワードの入力を求められます。
現在の制限
- ADユーザーはサポートされません。
- 認証をADに委任することはできません。
- パスワードの有効期限が切れる前に、ユーザーに警告メッセージを送信することはできません。
- アカウントのリセット/ロック解除の復旧メールに有効期限を構成することはできません。