プリセット認証ポリシー

Oktaには、標準のサインオン要件を持つアプリに適用できる、プリセット認証ポリシーがあります。一部のプリセットポリシーでは、グローバルセッションポリシーで特定のルールを設定する必要があります。各ポリシーで構成されているルールについては、次の表を参照してください。

Oktaアカウント管理ポリシーは、3つのアクションに適用できる、事前に設定された固有の認証ポリシーです。構成オプションについては、「Oktaアカウント管理ポリシー」を参照してください。

Classicから移行

Classic Engineからアップグレードした場合、デフォルトのポリシーを使用していたアプリはこのポリシーを使用するようになります。

キャッチオールルール

IF [conditions(条件)] すべて
THEN [Access is(アクセスの可否)] 許可
AND [User must authenticate with(ユーザーが認証に使用する要素)] 任意の1要素タイプ
[Prompt for authentication(認証のためのプロンプト)] Oktaグローバルセッションが存在しない場合

[Any two factors(任意の2つの要素)]

これは新しいorgのデフォルトポリシーです。アプリを追加した場合、そのアプリはこのポリシーで開始します。デフォルトから別のポリシーに変更することはできませんが、必要に応じてこのポリシーを編集できます。

キャッチオールルール

IF [conditions(条件)] すべて
THEN [Access is(アクセスの可否)] 許可
AND [User must authenticate with(ユーザーが認証に使用する要素)] [Any 2 factor types(任意の2要素タイプ)]
[Prompt for authentication(認証のためのプロンプト)] 12時間後

Password only(パスワードのみ)

これは、認証にパスワードのみを必要とする一般的なユースケースです。

キャッチオールルール

IF [conditions(条件)] すべて
THEN [Access is(アクセスの可否)] 許可
AND [User must authenticate with(ユーザーが認証に使用する要素)] パスワード

One factor access(1要素アクセス)

このポリシーでは、ユーザーはメールまたはSMSのみで認証する必要があります。

キャッチオールルール

IF [conditions(条件)] すべて
THEN [Access is(アクセスの可否)] 許可
AND [User must authenticate with(ユーザーが認証に使用する要素)] 任意の1要素タイプ

このポリシーを使用するには、次の設定を使用したグローバルセッションポリシールールを追加します。

  • AND [Establish the user session with(次を使用してユーザーセッションを確立:)]:[Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]
  • AND [Multifactor authentication (MFA) is(多要素認証(MFA))]:[not required(不要)]

Seamless access based on risk context(リスクコンテキストに基づくシームレスなアクセス)

このポリシーでは、ユーザーはOkta FastPassで認証する必要があります。

ルール1:低リスク

IF [conditions(条件)] リスク低
THEN [Access is(アクセスの可否)] 許可
AND [User must authenticate with(ユーザーが認証に使用する要素)] 任意の1要素タイプ
AND [Access with Okta FastPass is granted(Okta FastPassを使用したアクセスを許可)]

ユーザーがOkta Verifyでプロンプトを承認したり、生体認証を提供したりしない場合

ルール2:中リスク

IF [conditions(条件)] リスク中
THEN [Access is(アクセスの可否)] 許可
AND [User must authenticate with(ユーザーが認証に使用する要素)] 任意の1要素タイプ
AND [Possession factor restraints are(所有要素の制限)]

デバイスバウンド(電話とメールを除く)

ルール3:高リスク

IF [conditions(条件)] リスク高
THEN [Access is(アクセスの可否)] 許可
AND [User must authenticate with(ユーザーが認証に使用する要素)] 任意の2要素タイプ
AND [Possession factor restraints are(所有要素の制限)]

デバイスバウンド(電話とメールを除く)

キャッチオールルール

IF [conditions(条件)] すべて
THEN [Access is(アクセスの可否)] 拒否済み

このポリシーを使用するには、次の設定を使用したグローバルセッションポリシールールを追加します。

  • AND [Establish the user session with(次を使用してユーザーセッションを確立:)]:[Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]
  • AND [Multifactor authentication (MFA) is(多要素認証(MFA))]:[not required(不要)]

Seamless access based on network context(ネットワークコンテキストに基づくシームレスなアクセス)

ユーザーがネットワークに接続していない場合、このポリシーには2つの要素が必要です。

ルール1:ネットワーク接続あり

IF [conditions(条件)] LegacyIPZoneゾーン内
THEN [Access is(アクセスの可否)] 許可
AND [User must authenticate with(ユーザーが認証に使用する要素)] 任意の1要素タイプ

ルール1:ネットワーク接続なし

IF [conditions(条件)] ユーザーがLegacyIPZoneゾーン外
THEN [Access is(アクセスの可否)] 許可
AND [User must authenticate with(ユーザーが認証に使用する要素)] 任意の2要素タイプ

キャッチオールルール

IF [conditions(条件)] すべて
THEN [Access is(アクセスの可否)] 拒否済み

このポリシーを使用するには、次の設定を完了します。

  1. ネットワークゾーンを構成し、企業/VPM IPをLegacyIPZoneに追加します。
  2. 次の設定を使用したグローバルセッションポリシールールを追加します。
    • AND [Establish the user session with(次を使用してユーザーセッションを確立:)]:[Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]
    • AND [Multifactor authentication (MFA) is(多要素認証(MFA))]:[not required(不要)]

関連項目

認証ポリシーをアップデートする

認証ポリシーにアプリを追加する