サインオンのポリシーとルール

サインオン・ポリシーは、アシュアランスを適用するために使用されます。アシュアランスとは、アプリケーションにサインインするユーザーがアカウントの所有者でもあるという信頼度を指します。このレベルは、1つ以上のオーセンティケーターの使用とそのオーセンティケーターの特性によって測定されます。知識要素と所有要素の両方を使って認証できるユーザーは、1つの要素だけで認証できるユーザーよりもアシュアランス・レベルが高くなります。

Identity Engineでは、エンド・ユーザーのアプリへのアクセスを許可する前に、Oktaおよびアプリのサインオン・ポリシーで指定されたアシュアランスが満たされている必要があります。これは、ユーザーが組織にサインインするか、アプリから直接サインインするかに応じて1つのポリシーを評価する従来の認証モデルから変わった点です。

特定のユーザーにポリシーが適用されるかどうかを判断するために、Oktaはポリシーとそのルールの条件を評価します。

  • ポリシーには、同じセキュリティー特性を持つアプリや、同じアカウント設定要件を持つユーザー・グループなど、同様の扱いが必要なリソースのグループが含まれています。
  • ルールは、ある地理的なロケーションからの要求や、信頼できるネットワークにユーザーが接続しているかどうかなど、ポリシーの挙動の条件を記述します。すべてのポリシーには、適用する前に少なくとも1つのルールが必要です。

ベスト・プラクティスとして、制限ルールは優先度リストの一番上に配置する必要があります。さらに、複数のシナリオの条件の組み合わせを作成できます。ポリシーが持つことができるルールの数に制限はありません。

トピック

Oktaのサインオン・ポリシーOktaのサインオン・ポリシーは、ユーザーがOktaによって識別された後、次の認証ステップに進むために必要なサインイン・コンテキストを提供します。
アプリのサインオン・ポリシーアプリのサインオン・ポリシーは、リクエストされたアプリケーションのコンテキストでエンド・ユーザーの認証を強制します。(Oktaサインオン・ポリシーによっても識別される)ユーザーの場所とプロファイルは、アプリのサインオン・ポリシーのグループ・メンバーシップと認証基準と照合して検証されます。
Oktaアプリケーションでサインオン・ポリシーを作成するOktaには、各Oktaインスタンスでデフォルトで使用可能なファーストパーティー・アプリケーションがいくつかあります。
パスワードなしの認証を構成するOktaとアプリのサインオン・ポリシーを構成して、エンド・ユーザーがパスワードなしでサインインできるようにします。