Okta FastPassの認証ポリシーのシナリオ
認証ポリシーでルールを構成するときは、それらのルールがデバイスのアプリケーションへのアクセスにどのように影響するかを考慮することが重要です。
例1:デバイスによるアクセスを拒否する
このポリシーでは、以下のいずれかの条件が満たされる場合にユーザーグループBに属するデバイスのアクセスが拒否されます。
-
デバイスのサイレントプローブが正常に機能しない(これは、Okta Verifyサービスがバックグラウンドで実行されていない場合、ネイティブのメールアプリなどのWindowsユニバーサルアプリにサインインしようとしている場合、または管理対象外のiOSデバイスを使用している場合に発生する可能性があります)
-
Okta Verifyがインストールされていない(デバイスが登録されていない)
Or
アクセスが拒否されるのは、ルール4のみがtrueであるためです。
| ルール | ユーザーグループ | IF | THEN |
|---|---|---|---|
| 1 | A | 登録済みデバイス、管理対象デバイスが必要 | 1つのFAで許可 |
| 2 | A | すべてのデバイスの状態 | 2つのFAで許可 |
| 3 | B | 登録済みデバイスが必要 | 1つのFAで許可 |
| 4 | キャッチオール | すべて | 拒否 |
この状況では、次の場合にデバイスにアクセスが許可されます:
-
管理者がユーザーグループBを許可する新しいルールをポリシーに追加し、IF条件で[Any device state(すべてのデバイスの状態)]、THEN条件で[Allow with 2FA(二要素認証で許可)]を選択する。
-
サインインする際に、ユーザー名を入力せず、Okta Verifyの[Sign in with Okta Verify(Okta Verifyを使用してサインインする)]ボタンを使用する。
Or
例2:デバイスによるアクセスを許可する
このポリシーでは、例1が変更されています。ユーザーグループBにルールが1つ追加されて、どの状態のデバイスにもアクセス権が付与されるようになりました。ルール4はこのデバイスに対してtrueであるため、アクセスが許可されます。
| ルール | ユーザーグループ | IF | THEN |
|---|---|---|---|
| 1 | A | 登録済みデバイス、管理対象デバイスが必要 | 1つのFAで許可 |
| 2 | A | すべてのデバイスの状態 | 2つのFAで許可 |
| 3 | B | 登録済みデバイスが必要 | 1つのFAで許可 |
| 4 | B | すべてのデバイスの状態 | 2つのFAで許可 |
| 5 | キャッチオール | すべて | 拒否 |