Oktaのポリシーとルール
Oktaは、さまざまなアクションの要件をカスタマイズできるポリシーとルールを使用します。Oktaが使用する次のとおりです。
- Global session policy(グローバルセッションポリシー):このポリシーは、ユーザーがOktaによって識別された後で、次の認証ステップに進むために必要なサインインコンテキストを提供します。
- App sign-in policy(アプリ・サインイン・ポリシー):このポリシーは、リクエストされたアプリのコンテキストでエンドユーザーの認証を強制適用します。(グローバルセッションポリシーによっても識別される)ユーザーの場所とプロファイルは、アプリ・サインイン・ポリシーのグループメンバーシップと認証基準と照合して検証されます。
- Okta account management policy(Okta Account Managementポリシー):このポリシーは、ユーザーがAuthenticatorに登録するとき、パスワードを復旧するとき、およびアカウントをロック解除するときの認証要件を定義します。
- Session protection policy(セッション保護ポリシー):このポリシーを使用すると、セッションがハイジャックされる、またはその他の状況にあることを示す可能性があるコンテキストでの変更についてセッションを監視するオプションを構成できます。
また、特定の目的でグローバルセッションポリシーおよびアプリ・サインイン・ポリシーを使用することもできます。
- App sign-in policies for first-party apps(ファーストパーティアプリのアプリ・サインイン・ポリシー):Oktaには、各Oktaインスタンスでデフォルトで使用可能なファーストパーティアプリがいくつかあります。
- Passwordless experiences(パスワードレスエクスペリエンス):グローバルセッションとアプリ・サインイン・ポリシーを組み合わせて、ユーザーがパスワードレスでサインインできるようにします。
これらすべてのポリシーは保証を強制適用します。保証は、アプリケーションにサインインするユーザーがアカウントの所有者でもあるという信頼度になります。このレベルは、1つ以上のAuthenticatorの使用とそのAuthenticatorの特性によって測定されます。知識要素と所有要素の両方を使って認証できるユーザーは、1つの要素だけで認証できるユーザーよりもアシュアランスレベルが高くなります。
Identity Engineでは、エンドユーザーのアプリへのアクセスを許可する前に、グローバルセッションポリシーとアプリ・サインイン・ポリシーで指定された保証レベルが満たされている必要があります。これは、ユーザーがorgにサインインするか、アプリから直接サインインするかに応じて1つのポリシーを評価する従来の認証モデルから変わった点です。
特定のユーザーにポリシーが適用されるかどうかを判断するために、Oktaはポリシーとそのルールの条件を評価します。
- ポリシーには、同じセキュリティ特性を持つアプリや、同じアカウント設定要件を持つユーザーグループなど、同様の扱いが必要なリソースのグループが含まれています。
- ルールは、ある地理的なロケーションからの要求や、信頼できるネットワークにユーザーが接続しているかどうかなど、ポリシーの行動の条件を説明します。すべてのポリシーには、適用する前に少なくとも1つのルールが必要です。
ベストプラクティスとして、限定的なルールを[Priority(優先度)]リストの最上位に配置します。また、複数のシナリオに合わせて条件の組み合わせを作成できます。ポリシーに含めることができるルールの数に制限はありません。
ユーザーに適用されるポリシーに特定のAuthenticatorが必要で、ユーザーがそれを登録していない場合、orgまたはアプリへのアクセスを試みると、Authenticatorの登録を求められます。新しいAuthenticatorの登録では、ユーザーはまず、利用できる場合は常に2要素認証(2FA)で検証する必要があります。2FA要件は、適用されるポリシーに関係なく適用されます。