パスワードオーセンティケーターの構成

パスワードオーセンティケーターを使用すると、ユーザーがOktaまたはいずれかのアプリにサインインするときに、パスワードの提供を求めることができます。

パスワードは、ユーザーがOkta Sign-in Widgetのパスワードフィールドに入力する文字列で構成されます。管理者は、パスワードの複雑さをカスタマイズしたり、パスワードの有効期間、履歴を構成したり、ロックアウト条件を有効にしたりできます。

パスワード認証はデフォルトでアクティブになっています。パスワードオーセンティケーターを使用するには、パスワードのポリシーとルールを構成します。

パスワードポリシーの構成

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
  2. [Setup(セットアップ)]タブのオーセンティケーターのリストで[Password(パスワード)]の項目を見つけて、[Actions(アクション)]>[Edit(編集)]をクリックします。
  3. Oktaにはカスタマイズ可能なデフォルトポリシーが用意されていますが、独自のポリシーを作成することもできます。
    • デフォルトポリシーをカスタマイズするには、リストで[Default Policy(デフォルトポリシー)]を選択し、[Edit(編集)]をクリックします。
    • 独自のパスワードポリシーを作成するには、[Add New Password Policy(新しいパスワードポリシーを追加)]をクリックし、次のフィールドに入力します。
      • [Policy name(ポリシー名)]:このポリシーのわかりやすい名前を入力します。
      • [Policy description(ポリシーの説明)]:このポリシーの内容と適用対象の説明を入力します。
      • [Add group(グループを追加)]:ポリシーが適用されるユーザーのグループの名前を入力します。入力を開始すると、テキストに一致するグループの候補が表示されます。リストから目的のグループを選択します。ユーザーのグループの作成については、「グループについて」を参照してください。
      • [Applies To(適用先)]:このパスワードポリシーを適用する認証プロバイダーを選択します。
  4. [Password settings(パスワード設定)]オプションを構成します。
    • [Minimum length(最小の長さ)]:パスワードの最小文字数を指定します。
    • [Complexity requirements(複雑さの要件)]:パスワードにさまざまな種類の文字やその他の属性を使用することを要求します。
    • [Common password check(よく使われるパスワードをチェック)]:このオプションを選択すると、Oktaはユーザーのパスワードを一般的に使用されるパスワードのデータベースと比較し、データベースで見つかったパスワードの使用をブロックします。
    • [Password age(パスワードの有効期間)]:ユーザーがパスワードを使用できる期間、パスワードを再利用できる頻度、パスワードの変更を求めるタイミングを制御するオプションを選択します。
    • [Locked out(ロックアウト)]:アカウントがロックされるまでに間違ったパスワードを入力できる回数、アカウントがロックされる期間を設定し、Oktaによって表示または送信される通知を選択します。
    • Active Directory(AD)およびLightweight Directory Access Protocol(LDAP)のロックアウトを防ぐために、[Lock out user after <#> unsuccessful attempts(ユーザーがロックアウトされるまでの試行失敗回数)]に入力した数が、ADおよびLDAPで構成されたサインイン試行の失敗の制限よりも小さいことを確認してください。たとえば、ADおよびLDAPでWindowsサインインの最大試行失敗回数が10回に設定されている場合、Oktaではサインインの最大失敗回数を9回に設定することをお勧めします。エンドユーザーがOktaで設定されたサインイン制限を超えた場合、追加の試行失敗はADまたはLDAPに送信されないため、ユーザーが自分のWindowsアカウントからロックアウトされることを防ぐことができます。ADでは、ロックアウトされたOktaユーザーはセルフサービスのアカウントのロック解除を使用するか、Okta管理者にサポートを求めることができます。ロックされたLDAPソースのアカウントは、ユーザーではロック解除できず、管理者がロック解除する必要があります。

  5. 新しいポリシーを作成した場合は[Create Policy(ポリシーを作成)]をクリックし、デフォルトまたは既存のポリシーを編集した場合は[Update Policy(ポリシーを更新)]をクリックします。
  6. このポリシーのルールを作成します。手順については、「パスワードポリシールールの追加 」を参照してください。

パスワードポリシールールの追加

パスワードポリシールールを使用すると、ユーザーが使用できるセルフサービスアクション、ユーザーが復旧を開始する方法、および復旧中に追加の検証が必要かどうかを指定できます。また、個々のユーザーをパスワードポリシーから除外したり、指定したネットワークゾーンからOktaにアクセスしようとするユーザーにパスワードポリシーを制限したりすることもできます。

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
  2. [Setup(セットアップ)]タブのオーセンティケーターのリストで[Password(パスワード)]の項目を見つけて、[Actions(アクション)]>[Edit(編集)]をクリックします。
  3. ルールを追加するパスワードポリシーを選択し、[Add rule(ルールを追加)]をクリックします。
  4. 以下のフィールドに入力し、オプションを選択します。
    • [Rule Name(ルール名)]:ルールの名前を入力します。
    • [Exclude Users(ユーザーの除外)]:ルールから除外するユーザーの名前を入力します。入力を開始すると、テキストに一致するユーザー名の候補が表示されます。リストから目的のユーザーを選択します。除外するユーザーごとにこれを繰り返します。
    • IF[User's IP is(ユーザーのIPが以下の場合)]
      • [Anywhere(任意の場所)] - IPアドレスがパブリックゲートウェイIPリストに載っているかどうかに関わらずすべてのユーザーにルールを適用します。
      • [In zone(ゾーン内)]:すべての、または特定のネットワークゾーンのユーザーにルールを適用します。
        • [All Zones(すべてのゾーン)]:このルールをすべてのゾーンのユーザーに適用するには、このチェックボックスを選択します。
        • [Zones(ゾーン)]:指定したネットワークゾーン内のユーザーにこのルールを適用します。ゾーンの名前の入力を開始します。入力すると、Oktaがテキストに一致するゾーン名を提案します。リストから目的のゾーンを選択します。追加するゾーンごとにこれを繰り返します。
      • [Not in zone(ゾーンにない)]:すべての、または特定のゾーンのユーザーを除外してルールを適用します。
        • [All Zones(すべてのゾーン)]:すべてのゾーンのユーザーを除外するには、このチェックボックスを選択します。
        • [Zones(ゾーン)]:指定したネットワークゾーン内のユーザーを除外するには、このルールを適用します。ゾーンの名前の入力を開始します。入力すると、Oktaがテキストに一致するゾーン名を提案します。リストから目的のゾーンを選択します。追加するゾーンごとにこれを繰り返します。
      • パブリックゲートウェイIPリストとその他のIPゾーンの機能の詳細については、「ネットワークゾーン」を参照してください。

    • THEN[User can perform self-service(ユーザーは次をセルフサービスで実行可能)]:
      • [Password change (from account settings)(パスワード変更(アカウントの設定から))]:ユーザーがパスワードを変更することを許可し、[perform self-service password reset(セルフサービスによるパスワードリセットを実行)]オプションを利用できるようにします。
      • [Password reset(パスワードリセット)]:サインインできないユーザーやパスワードを忘れたユーザーが、セルフサービスによるパスワードリセットを実行することを許可し、Okta Sign-in Widget[Forgot password?(パスワードを忘れた場合)]リンクを表示します。
      • [Unlock account(アカウントロック解除)]: ユーザーがOkta Sign-in Widget[Unlock account?(アカウントのロックを解除しますか?)]をクリックして、アカウントのロックを解除できるようにします。
      • [Unlock account(アカウントロック解除)]オプションを選択すると、LDAPをソースとするOktaユーザーアカウントはOktaではロック解除されますが、オンプレミスLDAPインスタンスではロックされたままになります。セルフサービスのロック解除を許可しない場合は、「ユーザーのパスワードをリセットする」で他のオプションを参照してください。

  5. ユーザーが復旧を開始し、追加の検証を提供する方法を構成します。
    • AND[Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]:
      • [Okta Verify (Push notification only)(Okta Verify(プッシュ通知のみ))]:ユーザーがOkta Verifyのプッシュ機能を使用して復旧を開始できるようにします。「Okta Verifyオーセンティケーターの構成」を参照してください。
      • [Phone (SMS / Voice call)(電話(SMS/音声通話))]:ユーザーがテキストメッセージまたは音声通話で復旧を開始できるようにします。「電話オーセンティケーターの構成」を参照してください。
      • [Email(メール)]:ユーザーがワンタイムパスワードまたはマジックリンクが記載されたメールメッセージを使用して復元を開始できるようにします。「メールオーセンティケーターを構成する」を参照してください。
    • AND[Additional verification is(追加の検証に関する設定)]
      • [Not required(不要)]:復旧中にユーザーからの追加の検証を必要としない場合は、このオプションを選択します。
      • [Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用される任意の登録済みオーセンティケーター)]:ユーザーが復旧のために任意の登録済みオーセンティケーターを使用できるようにします。
      • [Only Security Question(セキュリティ上の質問のみ)]:ユーザーがセキュリティ上の質問のみを復旧に使用できるようにします。「セキュリティ上の質問によるオーセンティケーターの構成」を参照してください。
  6. [Create Rule(ルールを作成)]をクリックします。

エンドユーザーエクスペリエンス

エンドユーザーは、パスワードポリシーの構文、最小の長さ、有効期間および履歴の要件に従ってOktaパスワードを作成します。パスワードなしの認証向けに認証ポリシールールが有効になっていない限り、エンドユーザーは常にパスワードの入力を求められます。

備考

  • パスワードを忘れたエンドユーザーが電話、メール、またはセキュリティ上の質問を使用してパスワードをリセットできるようにするには、ここでオプションを使用して必要な認証を構成してください。
  • エンドユーザーがパスワードを忘れた場合、ここで利用可能な認証オプションを選択できます。ユーザーは、初回のサインイン時に復旧オーセンティケーターに登録するように求められます。
  • 管理者は、オーセンティケーター登録ポリシーを使用して復旧オーセンティケーターを必須にすることができます。[Enrollment(登録)]タブで[Edit(編集)]をクリックし、[Active users must first authenticate with(アクティブユーザーが最初に認証すべき要素)]オプションを構成して、ほかの要素のいずれかをパスワードより先に認証する必要があるかどうかを示します。

現在の制限

  • Active Directoryユーザーはまだサポートされていません。
  • Active Directoryへの代理認証は現在サポートされていません。
  • 管理者が構成したパスワードの有効期限日までの日数をユーザーに警告することは、現在サポートされていません。
  • アカウントのリセット/ロック解除の復旧メールに対する有効期限の設定は、サポートされていません。

関連項目

セルフサービスのアカウント復旧

メールオーセンティケーターの構成

電話オーセンティケーターの構成

FIDO2(WebAuthn)オーセンティケーターの構成

セキュリティ上の質問によるオーセンティケーターの構成