サインオンのポリシーとルール
グローバルセッションポリシーと認証ポリシーは、保証を強制適用するために使用されます。アシュアランスとは、アプリケーションにサインインするユーザーがアカウントの所有者でもあるという信頼度を指します。このレベルは、1つ以上のAuthenticatorの使用とそのAuthenticatorの特性によって測定されます。知識要素と所有要素の両方を使って認証できるユーザーは、1つの要素だけで認証できるユーザーよりもアシュアランスレベルが高くなります。
Okta Identity Engineでは、エンドユーザーのアプリへのアクセスを許可する前に、グローバルセッションポリシーと認証ポリシーで指定された保証レベルが満たされている必要があります。これは、ユーザーがorgにサインインするか、アプリから直接サインインするかに応じて1つのポリシーを評価する従来の認証モデルから変わった点です。
特定のユーザーにポリシーが適用されるかどうかを判断するために、Oktaはポリシーとそのルールの条件を評価します。
- ポリシーには、同じセキュリティ特性を持つアプリや、同じアカウント設定要件を持つユーザーグループなど、同様の扱いが必要なリソースのグループが含まれています。
- ルールは、ある地理的なロケーションからの要求や、信頼できるネットワークにユーザーが接続しているかどうかなど、ポリシーの行動の条件を説明します。すべてのポリシーには、適用する前に少なくとも1つのルールが必要です。
ベストプラクティスとして、限定的なルールを[Priority(優先度)]リストの最上位に配置します。また、複数のシナリオに合わせて条件の組み合わせを作成できます。ポリシーに含めることができるルールの数に制限はありません。
ユーザーに適用されるポリシーに特定のAuthenticatorが必要で、ユーザーがそれを登録していない場合、orgまたはアプリへのアクセスを試みると、Authenticatorの登録を求められます。新しいAuthenticatorの登録では、ユーザーはまず、利用できる場合は常に2要素認証(2FA)で検証する必要があります。2FA要件は、適用されるポリシーに関係なく適用されます。
トピック
| グローバルセッションポリシー | グローバルセッションポリシーは、ユーザーがOktaによって識別された後で、次の認証ステップに進むために必要なサインインコンテキストを提供します。 |
| 認証ポリシー | 認証ポリシーは、リクエストされたアプリケーションのコンテキストでエンドユーザーの認証を強制します。(グローバルセッションポリシーによっても識別される)ユーザーの場所とプロファイルは、認証ポリシーのグループメンバーシップと認証基準と照合して検証されます。 |
| ファーストパーティアプリの認証ポリシーを変更する | Oktaには、各Oktaインスタンスでデフォルトで使用可能なファーストパーティアプリケーションがいくつかあります。 |
| Oktaアカウント管理ポリシー | Oktaアカウント管理ポリシーでは、ユーザーがAuthenticatorに登録するとき、パスワードを復旧するとき、およびアカウントをロック解除するときの認証要件を定義します。 |
| グローバルセッションポリシーと認証ポリシーを構成して、エンドユーザー向けのパスワードレスサインインエクスペリエンスを作成します。 |