モバイル用のアプリサインインポリシールールを追加する

アプリサインインポリシーは、アプリのアクセス要件を定義して適用します。orgのすべてのアプリには、デフォルトのアプリサインインポリシーがすでに用意されています。ルールの中でも特に、誰が、どの場所から、どのタイプのデバイスにアクセスできるか、どの認証方法を使用するかを規制するルールを作成することで、ポリシーをカスタマイズできます。

たとえば、アプリにアクセスする際にOktaユーザー全員にパスワードの提供をデフォルトで要求する一方で、指定したグループのOktaユーザーには同じアプリへのアクセスでもパスワードとOkta Verifyの両方を提供するよう求めることができます。その場合、デフォルトユーザーにパスワードの提供を要求するルールと、指定したグループのメンバー全員にOkta Verifyの提供を要求するルールを作成します。

ルールには番号が付けられます。Oktaは、アプリサインインポリシーページに表示されるのと同じ順序でルールを評価します。ルールの番号の下に表示される縦の点線の「ハンドル」をクリックしてドラッグすると、追加したルールの順序を並べ替えることができます。

アプリサインインポリシーは、ユーザーがアプリにアクセスするたびに評価されます。その時点でユーザーに有効なOktaセッションがない場合、グローバルセッションポリシーも評価されます(「グローバルセッションポリシー」を参照)。

たとえば、アクティブなOktaセッションを持たないユーザーがアプリにアクセスしようとしたとします。グローバルセッションポリシーによって[Password / IdP(パスワード/IdP)]が求められ、アプリサインインポリシーによって[1FA, possession factor(1要素認証の所有要素)]が求められる場合、ユーザーはパスワード(または外部IdPとのフェデレーション)および所有要素を提供する必要があります。

ポリシーを特定のユーザーに適用するかどうかを評価するとき、Oktaはポリシーの条件とそのルールの条件を組み合わせます。ポリシーに複数のルールが含まれ、ユーザーがアプリにアクセスしようとしたときに最初のルールの条件が満たされない場合、Oktaはこのルールをスキップし、次のルールに対してユーザーを評価します。

Okta Verifyを使用してパスワードレス認証を構成するには、「Okta FastPassを構成する」を参照してください。

Device Trust(Classic)からOkta Identity EngineのDevice Trustに移行し、登録済みデバイスを必要とするアプリサインインポリシールールを作成した後、[Authentication of device via certificate - failure: NO_CERTIFICATE(証明書によるデバイスの認証 - エラー:NO_CERTIFICATE)]システムログイベントが表示されます。これは予想される動作であり、Okta FastPassに移行すると解決されます。これは、サーバーがクライアント証明書のないデバイスでDevice Trustチャレンジを試行しているために発生します。ユーザーは引き続きログインできますが、デバイスは「信頼できない」と見なされます。

開始する前に

この手順を開始する

  1. iOSデバイスのSSO拡張機能を構成します

  2. Admin Console[Security(セキュリティ)][Authentication Policies(認証ポリシー)]に移動します。

  3. [App sign-in(アプリのサインイン)]をクリックします。
  4. ルールを追加するアプリサインインポリシーを選択します。
  5. [Add Rule(ルールを追加)]ページをクリックします。
  6. ルールを説明する[Rule name(ルール名)]を入力します。

  7. 適切な[IF]条件を構成して、どのような場合にルールを適用するのかを指定します。

    条件を設定する際には、一部の条件は主にイベントの監査とフィルタリングに役立つものの、セキュリティ体制を定義するための基礎として扱うべきではないことに注意してください。

    たとえば、悪意のあるアクターはデバイスプラットフォームを簡単に偽装できるため、デバイスプラットフォームをアプリサインインポリシールールの主要コンポーネントとして使用しないでください。

  8. 適切な[THEN]条件を構成して、認証の適用方法を指定します。
  9. 必要に応じて、再認証の頻度を構成します。
  10. [Save(保存)]をクリックします。