Okta FastPassグローバルセッションポリシーを構成する

Okta FastPassをサポートするグローバルセッションポリシーを作成します。Okta FastPass用に既存のグローバルセッションポリシーを編集するか、現在グローバルセッションポリシーがない場合は新しいグローバルセッションポリシーを作成することができます。

Okta FastPassの既存のグローバルセッションポリシーを編集する

すでにグローバルセッションポリシーがあり、それをOkta FastPass用に構成する場合は、この手順を完了します。

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Global Session Policy(グローバルセッションポリシー)]に移動します。
  2. 目的のグローバルセッションポリシーをクリックします。
  3. [Add Rule(ルールを追加)]をクリックします。
  4. グローバルセッションポリシーのルールを作成します。「グローバルセッションポリシールールを追加する」を参照してください。ただし、手順6では、説明に従って以下の条件を構成します。
    • [Establish the user session with(次を使用してユーザーセッションを確立:)]:[Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]を選択。これにより、Okta FastPassユーザーはパスワードなしで認証できます。

      • 重要:デフォルトの構成を[Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]に変更すると、すべての保護対象アプリに影響が及びます。 これにより、グローバルセッションポリシーからグローバルパスワード要件が削除され、認証基準を定義して適用する責任が各認証ポリシーに移管されます。この構成を変更する前に、すべてのアプリに対して強力なアプリサインオンポリシーを作成してください。これをすべてのアプリで行わなかった場合、ユーザーが単一の登録済み要素でアプリにアクセスできる可能性があります。

    • AND [Secondary factor is(予備の要素)][Require secondary factor(必須の予備の要素)]チェックボックスをオフにします。これにより、Okta FastPassユーザーは、生体認証を使用せずにサインインできるようになります。
  5. 必要に応じてルールの優先度を変更します。

Okta FastPassの新しいグローバルセッションポリシーを作成する

グローバルセッションポリシーがない場合は、この手順を完了します。

  1. Okta Admin Consoleで、[Security(セキュリティ)]> [Global Session Policy(グローバルセッションポリシー)]に移動します。

  2. [Add New Global Session Policy(新しいグローバルセッションポリシーを追加)]をクリックします。

  3. [Policy Name(ポリシー名)]フィールドに、ポリシーの名前を入力します。例:Okta FastPassポリシー

  4. 任意。[Policy Description(ポリシーの説明)]フィールドに、ポリシーの説明を入力します。

  5. [Assign to Groups(グループに割り当て)]フィールドに、orgの1つ以上のグループの名前を入力します。入力すると、テキストに一致するグループ名のリストが表示されます。リストのグループ名をクリックするか、完全なグループ名を入力してEnterキーを押します。

    現在、orgに存在するグループを表示するには、[Directory(ディレクトリ)]>[Groups(グループ)]に移動します。

  6. [Create Policy and Add Rule(ポリシーを作成してルールを追加)]をクリックします。

  7. グローバルセッションポリシーにルールを追加します。

    1. [Rule Name(ルール名)]フィールドに、ルールの名前を入力します。例:管理対象デバイス用のOkta FastPassルール。
    2. 任意。[Exclude Users(ユーザーを除外)]フィールドに、ルールから除外する(グループ内に存在する)ユーザーの名前を入力します。
    3. ルールの条件を指定します。
      条件 構成 説明
      IF[User’s IP is(ユーザーのIP:)][Anywhere(すべての場所)]IPアドレスに基づいて、許可されたユーザーの場所を構成します。次のいずれかを選択します。
      • [Anywhere(すべての場所)](デフォルト):任意の場所。
      • [In zone(ゾーン内)]:指定されたゾーン内。[All Zones(すべてのゾーン)]チェックボックスを選択してすべてのゾーンを指定するか、[Zones(ゾーン)]フィールドに特定のゾーンを入力します。
      • [Not in zone(ゾーン外)]:指定されたゾーンの範囲外。[All Zones(すべてのゾーン)]チェックボックスを選択してすべてのゾーンを指定するか、[Zones(ゾーン)]フィールドに特定のゾーンを入力します。

      必要に応じて、[Manage Configurations for Network(ネットワークの構成を管理)]リンクをクリックして、ネットワークゾーンを追加または編集します。

      「ネットワークゾーン」を参照してください。

      AND[Identity provider is(IDプロバイダー:)][Any(すべて)]必要なIDプロバイダー(IdP)を構成します。次のいずれかを選択します。
      • [Any(すべて)](デフォルト):[Okta]または[Specific IdP(特定のIdP)]
      • [Okta]Oktaのみ。
      • [Specific IdP(特定のIdP)]:フィールドで指定されたIDプロバイダーのみ。

        • このリストにIDプロバイダーを追加する場合は、「ソーシャルログイン(IdP)の追加」を参照してください。

      これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

      AND[Authenticates via(次で認証:)]

      [Any(すべて)]

      認証に使用できるインターフェイスを構成します。次のいずれかを選択します。

      • [Any(すべて)](デフォルト):任意のインターフェイス。

      • [LDAP interface(LDAPインターフェイス)]:Lightweight Directory Access Protocol(LDAP)インターフェイスのみ。

      AND[Behavior is(行動:)]

      (空白のままにします)

      任意。ロケーション、デバイス、IPアドレス、またはOktaへのアクセス速度の変化に基づいて許可される行動を構成します。行動タイプまたは名前付き行動を入力します。

      AND[Risk is(リスクレベル)]

      [Any(すべて)]

      サインイン試行のリスクスコア許容範囲を構成します。次のいずれかを選択します。

      • [Any(すべて)](デフォルト):リスクスコアは、低、中、または高です。

      • [Low(低)]:リスクスコアは低くする必要があります。

      • [Medium(中)]:リスクスコアは中である必要があります。

      • [High(高)]:リスクスコアは高くする必要があります。

      「リスクスコアリング」を参照してください。

      THEN[Access is(アクセスの可否)]

      [Allowed(許可)]

      ポリシー条件がtrueの場合にユーザーがアクセスできるかどうかを構成します。次のいずれかを選択します。

      • [Allowed(許可)](デフォルト):条件がtrueの場合、ユーザーにアクセス権が付与されます。

      • [Denied(拒否)]:条件がtrueの場合、ユーザーにアクセス権は付与されません。

      [Establish the user session with(次を使用してユーザーセッションを確立:)]

      [Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]

      プライマリ認証要素を構成します。次のいずれかを選択します。

      • [Password(パスワード)](デフォルト):ユーザーはアクセスする前にパスワードまたはIDプロバイダーを提供する必要があります。

      • [Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]:ユーザーは、パスワード、IDプロバイダー、またはその他の認証要素を提供する必要があります。Okta FastPassではパスワードなしの認証を可能にするため、この設定をお勧めします。

        • 注:これにより、グローバルセッションポリシーからグローバルパスワード要件が削除され、認証基準を定義して適用する責任が各アプリのサインオンポリシーに移管されます。このオプションを有効化する前に、すべてのアプリに対して強力なアプリサインオンポリシーを作成してください。これをすべてのアプリで行わなかった場合、ユーザーが単一の登録済み認証要素でアプリにアクセスできる可能性があります。

      AND[Secondary factor is(予備の要素)]

      [Require secondary factor(必須の予備の要素)]チェックボックスをオフにします。

      予備の認証要素が必要かどうかを構成します。[Require secondary factor(必須の予備の要素)]チェックボックスを設定します。

      • 選択(デフォルト):ユーザーは予備の認証要素(生体認証など)の入力を求められます。選択した場合は、ユーザーに予備の要素の入力を求めるタイミングも構成する必要があります。
        • [Per Device(デバイスごと)]:ユーザーは、各デバイスで1回、入力を求められます。
        • [Every Time(毎回)]:ユーザーは、サインインするたびに入力を求められます。
        • [Per Session(セッションごと)]:ユーザーは、指定したセッション時間ごとに入力を求められます。これを選択した場合は、[Factor Lifetime(要素のライフタイム)]も設定する必要があります。
      • オフ:ユーザーは、予備の認証要素の入力を求められません。Okta FastPassユーザーは、生体認証を使用せずにサインインできるようになります。

      必要に応じて、[Manage Configurations for Multifactor Authentication(多要素認証の構成を管理)]をクリックし、[Authenticators(オーセンティケーター)]ページにアクセスします。

      「MFAオーセンティケーターについて」を参照してください。

      [Factor Lifetime(要素のライフタイム)]

      該当なし。

      ユーザーが予備の認証要素を再度求められるまでの経過時間を構成します。このパラメーターは、AND[Secondary factor is(予備の要素)]選択および[Per Session(セッションごと)]に設定されている場合にのみ使用できます。設定はデフォルトで15分となっていて、最長期間は6か月です。

      [Session expires after(セッションは次の経過後に期限切れになります)]

      必要に応じて。

      ユーザーセッションがアイドル状態になってから認証プロンプトがトリガーされるまでの最大時間を構成します。

      エンドユーザーのセッションが期限切れになる5分前に、ダッシュボードにカウントダウンタイマーとセッションを延長するためのオプションが表示されます。セッションのライフタイムの設定はデフォルトで2時間となっていて、最長期間は90日です。

    4. [Create Rule(ルールを作成)]をクリックします。

関連項目