認証登録ポリシーとルールについて

認証登録ポリシーは、ユーザーが自分自身をオーセンティケーターに登録する方法を制御します。特定のオーセンティケーターや状況に応じて、ポリシーとルールを作成して適用し、特定のユーザーグループに使用を要求できます。

グローバルセッションポリシーによって、エンドユーザーがアカウントにサインインするときに発生する認証のチャレンジタイプが決まります。ポリシーを使用すると、ユーザーの場所、ユーザーが割り当てられているグループ、使用しているオーセンティケーターのタイプの指定など、サインインを許可またはブロックするために使用できるさまざまな基準を構成できます。アクセスの許可やチャレンジの要求などの、実行するアクションも指定できます。

挙動の変更点

  • セルフサービスによるパスワードのリセット(SSPR)用のグループパスワードポリシーで必要なオーセンティケーターのうち、SSOが有効になっていないものは、認証登録ポリシーに表示されません。ユーザーがSSPRでメールまたはセキュリティ上の質問を使用する必要がある場合、ユーザーの登録にはこれらのオーセンティケーターが必要です。SSPRポリシーで電話が必須の場合、電話はオプションとして扱われます。
  • 最初のチャレンジでの登録に対するアクションと、サインオンの登録に対するアクションは、区別されたアクションではなくなりました。必須のオーセンティケーターがない場合、ユーザーは、アプリにサインインするときに必須のオーセンティケーターに登録するように求められます。
  • 必須のオーセンティケーターの登録がない場合、またはアプリの認証ポリシーにより、登録していないオーセンティケーターを使用する必要がある場合、ユーザーはオーセンティケーターの登録を求められます。
    • MFA登録ポリシーで電話とセキュリティキーまたは生体認証(WebAuthn)がオプションのオーセンティケーターである場合、ユーザーはパスワードのみを登録できます。所有要素タイプで2要素認証を必要とするアプリにユーザーがアクセスしようとすると、所有要素タイプを満たすオプションのオーセンティケーターを登録するように求められます。
  • アカウント復旧の場合:ユーザーがメール、電話、セキュリティ上の質問による認証でセルフサービスの復旧を実行できるパスワードポリシーを管理者が作成している場合は、これらの追加オーセンティケーターが認証登録ポリシーで無効になっていても、Oktaによりユーザーの初回サインイン時にこれらのオーセンティケーターの登録が求められます。
    • メールおよびセキュリティ上の質問のオーセンティケーターが復旧用のパスワードポリシールールで構成されている場合は、それらが求められます。
    • メールは自動登録されるため、エンドユーザーは手動で登録する必要はありません。
    • 電話は任意です。
  • 初回アカウント設定の場合:管理者が、あるオーセンティケーターのグループを使用して後続のサインオン時にユーザーが自分自身を認証できるようにする認証登録ポリシーを作成し、別のオーセンティケーターのグループを使用するセルフサービス復旧ポリシーを作成した場合、エンドユーザーは、初めてOktaに登録するときに、認証登録ポリシーとセルフサービス復旧ポリシーの両方のすべてのオーセンティケーターに自分自身を登録する必要があります。エンドユーザーは、この両方のポリシーのすべてのオーセンティケーターが使用可能になります。アカウントの初回設定時には、これらのポリシーが両方ともOktaによって同時に評価されます。エンドユーザーによるその後のサインオンでは、通常の処理ルールが適用されます。ポリシーは個別に評価され、認証登録ポリシーとセルフサービス復旧ポリシーの間にオーセンティケーターが「プール」されることはなくなります。

現在の制限

  • SMSと音声の方法は、ポリシーで別々に表示されます。SMSまたは音声のいずれかを構成すると、ユーザーは電話オーセンティケーターに登録されます。
    • たとえば、SMSが必要で音声が無効な場合は、電話オーセンティケーターが必要になり、ユーザーは音声の方法を使用して電話オーセンティケーターの登録と検証を行うことができます。
  • パスワード:パスワードなしサインインエクスペリエンスが有効になっていない限り、パスワードは構成可能な要素として表示されます。パスワードなしサインインエクスペリエンスが無効になっている場合は、ユーザーが認証にソーシャル認証またはインバウンドフェデレーションを使用していない限り、パスワードは常に必要です。
  • メール:任意または必須に設定すると、メールは必須として扱われ、ユーザーがアカウントにサインインすると自動登録されます。

トピック