モバイル用の認証ポリシールールを追加する
認証ポリシーは、アプリのアクセス要件を定義して適用します。orgのすべてのアプリには、デフォルトの認証ポリシーがすでに用意されています。ルールの中でも特に、誰が、どの場所から、どのタイプのデバイスにアクセスできるか、どの認証方法を使用するかを規制するルールを作成することで、ポリシーをカスタマイズできます。
たとえば、アプリにアクセスする際にOktaユーザー全員にパスワードの提供をデフォルトで要求する一方で、指定したグループのOktaユーザーには同じアプリへのアクセスでもパスワードとOkta Verifyの両方を提供するよう求めることができます。その場合、デフォルトユーザーにパスワードの提供を要求するルールと、指定したグループのメンバー全員にOkta Verifyの提供を要求するルールを作成します。
ルールには番号が付けられます。Oktaは、認証ポリシーのページに表示されるのと同じ順序でルールを評価します。ルールの番号の下に表示される縦の点線の「ハンドル」をクリックしてドラッグすると、追加したルールの順序を並べ替えることができます。
認証ポリシーは、ユーザーがアプリにアクセスするたびに評価されます。その時点でユーザーに有効なOktaセッションがない場合、グローバルセッションポリシーも評価されます(「グローバルセッションポリシー」を参照)。
たとえば、アクティブなOktaセッションを持たないユーザーがアプリにアクセスしようとしたとします。グローバルセッションポリシー によってパスワード/IdPが求められ、認証ポリシーによって1要素認証の所有要素が求められる場合、ユーザーはパスワード(または外部IdPとのフェデレーション)および所有要素を提供する必要があります。
ポリシーを特定のユーザーに適用するかどうかを評価するとき、Oktaはポリシーの条件とそのルールの条件を組み合わせます。ポリシーに複数のルールが含まれ、ユーザーがアプリにアクセスしようとしたときに最初のルールの条件が満たされない場合、Oktaはこのルールをスキップし、次のルールに対してユーザーを評価します。
Okta Verifyを使用してパスワードなしの認証を構成するには、「Okta FastPassを構成する」を参照してください。
Device Trust(Okta Classic)からOkta Identity EngineのDevice Trustに移行し、登録済みデバイスを必要とする認証ポリシールールを作成した後、[Authentication of device via certificate - failure: NO_CERTIFICATE(証明書によるデバイスの認証 - エラー:NO_CERTIFICATE)]システムログイベントが表示されます。これは予想される動作であり、Okta FastPassに移行すると解決されます。これは、サーバーがクライアント証明書のないデバイスでDevice Trustチャレンジを試行しているために発生します。ユーザーは引き続きログインできますが、デバイスは「信頼できない」と見なされます。
開始する前に
- 「認証ポリシー」を確認します。
- 「認証ポリシーを作成する」を確認し、必要に応じて新しいポリシーを作成します。
- 「認証ポリシールールを追加する」を確認します。
この手順を開始する
- iOSデバイスのSSO拡張機能を構成します。
-
Okta Admin Consoleで、[Security(セキュリティ)]>[Authentication Policies(認証ポリシー)]に移動します。
-
ルールを追加する認証ポリシーを選択します。
-
[Add Rule(ルールを追加)]ページをクリックします。
-
ルールを説明する[Rule name(ルール名)]を入力します。
-
適切なIF条件を構成して、どのような場合にルールを適用するのかを指定します。
条件を設定する際には、一部の条件は主にイベントの監査とフィルタリングに役立つものの、セキュリティ体制を定義するための基礎として扱うべきではないことに注意してください。
たとえば、悪意のあるアクターはデバイスプラットフォームを簡単に偽装できるため、デバイスプラットフォームを認証ポリシールールの主要コンポーネントとして使用しないでください。
-
適切なTHEN条件を構成して、認証の適用方法を指定します。
-
必要に応じて、再認証の頻度を構成します。
-
[Save(保存)]をクリックします。