多要素認証登録ポリシーとルールについて

多要素認証登録ポリシーでは、オーセンティケーターの登録を制御します。多要素認証登録ポリシーを使用すると、特定のオーセンティケーター向けにポリシーとルールを作成して適用し、それらに応じてグループを割り当てることができます。

サインオン・ポリシーによって、エンド・ユーザーがアカウントにサインインするときに発生する認証のチャレンジ・タイプが決まります。ポリシーは、場所、グループ定義、認証タイプなど、さまざまな要素に基づいています。アクセスの許可やチャレンジの要求などの、実行するアクションも指定できます。

挙動の変更点

  • グループ・パスワード・ポリシー(セルフサービスによるパスワードのリセット用)で必要なオーセンティケーターのうち、SSOが有効になっていないものは、多要素認証登録ポリシーに表示されません。ユーザーがSSPRでメールまたはセキュリティー上の質問を使用する必要がある場合、ユーザーの登録にはこれらのオーセンティケーターが必要です。SSPRポリシーで電話が必須の場合、電話はオプションとして扱われます。
  • 最初のチャレンジでの登録に対するアクションと、サインオンの登録に対するアクションは、区別されたアクションではなくなりました。必須のオーセンティケーターがない場合、ユーザーは、アプリにサインインするときに必須のオーセンティケーターに登録するように求められます。
  • 必須のオーセンティケーターの登録がない場合、またはアプリのアクセス・ポリシーにより、登録していないオーセンティケーターを使用する必要がある場合、ユーザーはオーセンティケーターの登録を求められます。
    • 多要素認証登録ポリシーで電話とセキュリティー・キーまたは生体認証(WebAuthn)がオプションのオーセンティケーターである場合、ユーザーはパスワードのみを登録できます。所有要素タイプで2要素認証を必要とするアプリにユーザーがアクセスしようとすると、所有要素タイプを満たすオプションのオーセンティケーターを登録するように求められます。
  • アカウント復旧の場合:ユーザーがメール、電話、セキュリティー上の質問による認証でセルフサービスの復旧を実行できるパスワード・ポリシーを管理者が作成している場合は、これらの追加オーセンティケーターが多要素認証登録ポリシーで無効になっていても、ユーザーの初回サインイン時にこれらのオーセンティケーターの登録が求められます。
    • メールおよびセキュリティー上の質問のオーセンティケーターが復旧用のパスワード・ポリシー・ルールで構成されている場合は、それらが求められます。
    • メールは自動登録されるため、エンド・ユーザーは手動で登録する必要はありません。
    • 電話は任意です。
  • 初回アカウント設定の場合:管理者が、あるオーセンティケーターのグループを使用して後続のサインオン時にユーザーが自分自身を認証できるようにする多要素認証登録ポリシーを作成し、別のオーセンティケーターのグループを使用するセルフサービス復旧ポリシーを作成した場合、エンド・ユーザーは、初めてOktaに登録するときに、多要素認証登録ポリシーとセルフサービス復旧ポリシーの両方のすべてのオーセンティケーターに自分自身を登録する必要があります。エンド・ユーザーは、この両方のポリシーのすべてのオーセンティケーターが使用可能になります。アカウントの初回設定時には、これらのポリシーが両方ともOktaによって同時に評価されます。エンド・ユーザーによるその後のサインオンでは、通常の処理ルールが適用されます。ポリシーは個別に評価され、多要素認証登録ポリシーとセルフサービス復旧ポリシーの間にオーセンティケーターが「プール」されることはなくなります。

現在の制限

  • SMSと音声の方法は、ポリシーで別々に表示されます。SMSまたは音声のいずれかを構成すると、ユーザーは電話オーセンティケーターに登録されます。
    • たとえば、SMSが必要で音声が無効な場合は、電話オーセンティケーターが必要になり、ユーザーは音声の方法を使用して電話オーセンティケーターの登録と検証を行うことができます。
  • パスワード:構成可能な要素として表示されません。ユーザーが認証にソーシャル認証またはインバウンド・フェデレーションを使用していない限り、パスワードは常に必要です。
  • メール:オプションまたは必須に設定すると、メールは必須として扱われ、ユーザーがアカウントにサインインすると自動登録されます。
  • 多要素認証登録ポリシーのアプリ条件はサポートされていません。管理者は、特定のアプリケーションに多要素認証登録ポリシーを使用できません。多要素認証登録ポリシーはOktaにサインインするたびに評価され、必要な要素がまだ登録されていない場合は登録するようユーザーに求められます。

トピック