サインオンのポリシーとルール
サインオン・ポリシーは、アシュアランスを適用するために使用されます。アシュアランスとは、アプリケーションにサインインするユーザーがアカウントの所有者でもあるという信頼度を指します。このレベルは、1つ以上のオーセンティケーターの使用とそのオーセンティケーターの特性によって測定されます。知識要素と所有要素の両方を使って認証できるユーザーは、1つの要素だけで認証できるユーザーよりもアシュアランス・レベルが高くなります。
Identity Engineでは、エンド・ユーザーのアプリへのアクセスを許可する前に、Oktaおよびアプリのサインオン・ポリシーで指定されたアシュアランスが満たされている必要があります。これは、ユーザーが組織にサインインするか、アプリから直接サインインするかに応じて1つのポリシーを評価する従来の認証モデルから変わった点です。
特定のユーザーにポリシーが適用されるかどうかを判断するために、Oktaはポリシーとそのルールの条件を評価します。
- ポリシーには、同じセキュリティー特性を持つアプリや、同じアカウント設定要件を持つユーザー・グループなど、同様の扱いが必要なリソースのグループが含まれています。
- ルールは、ある地理的なロケーションからの要求や、信頼できるネットワークにユーザーが接続しているかどうかなど、ポリシーの挙動の条件を記述します。すべてのポリシーには、適用する前に少なくとも1つのルールが必要です。
ベスト・プラクティスとして、制限ルールは優先度リストの一番上に配置する必要があります。さらに、複数のシナリオの条件の組み合わせを作成できます。ポリシーが持つことができるルールの数に制限はありません。
トピック
Oktaのサインオン・ポリシー | Oktaのサインオン・ポリシーは、ユーザーがOktaによって識別された後、次の認証ステップに進むために必要なサインイン・コンテキストを提供します。 |
アプリのサインオン・ポリシー | アプリのサインオン・ポリシーは、リクエストされたアプリケーションのコンテキストでエンド・ユーザーの認証を強制します。(Oktaサインオン・ポリシーによっても識別される)ユーザーの場所とプロファイルは、アプリのサインオン・ポリシーのグループ・メンバーシップと認証基準と照合して検証されます。 |
Oktaアプリケーションでサインオン・ポリシーを作成する | Oktaには、各Oktaインスタンスでデフォルトで使用可能なファーストパーティー・アプリケーションがいくつかあります。 |
パスワードなしの認証を構成する | Oktaとアプリのサインオン・ポリシーを構成して、エンド・ユーザーがパスワードなしでサインインできるようにします。 |