サインインフロー
サインインフローのシーケンスは、グローバルセッションポリシーと認証ポリシーで設定した認証要件によって異なります。グローバルセッションポリシーでは、org内のすべてのアプリを対象にアクセスをグローバルに定義し、認証ポリシーでは、リクエストされたアプリのコンテキストでユーザー認証を強制適用します。
ユーザーの場所とプロファイルは、ポリシーのグループメンバーシップと認証基準の両方を使用して検証されます。ユーザーに対してパスワードなしでのサインインが許可されている場合、Oktaはサインインエクスペリエンスの最適化を試みます。デバイスがOkta Verifyに登録されていて、生体Authenticatorが有効になっている場合、ユーザー認証に使用される最初の要素は必ず生体認証Authenticatorです。
ユーザーがパスワードを使用してサインインすることが求められる場合、必ずパスワード先行プロンプトが表示されます。これは、パスワードAuthenticatorがほかのAuthenticatorとともに定義されている認証ポリシー構成に当てはまります。
パスワード/IDP
グローバルセッションポリシールールのいずれかでプライマリ要素が[Password / IDP(パスワード/IDP)]に設定されている場合、パスワード先行のOkta Sign-in Widgetがユーザーに表示されます。
-
ユーザーはドメインを含む完全なアプリの[Username(ユーザー名)]を入力し、[Password(パスワード)]フィールドに自分のパスワードを入力します。
[Keep me signed in(サインインしたままにする)]チェックボックス(またはEA機能を有効にした場合は[Stay signed in(サインイン状態を維持する)])をオンにすると、グローバルセッションポリシールールで指定された期間にわたって、識別子とAuthenticatorの検証情報がデバイスに保持されます。
-
ユーザーは[Sign in(サインイン)]をクリックして、認証プロセスを開始します。
-
ユーザーは[Security Methods(セキュリティ方式)]ページで、グローバルセッションポリシーと認証ポリシーの両方で許可されているプライマリAuthenticatorオプションを1つ選択します。
-
[Select(選択)]をクリックしてAuthenticatorを選択すると、ユーザーは検証ステップに移動します。このステップでは、必要なAuthenticatorを入力して[Verify(検証)]をクリックします。
[Stay signed in(サインイン状態を維持する)]オプションを有効にした場合、IdPユーザーには、Oktaに再度リダイレクトされたときにもプロンプトが表示されます。ユーザーがプロンプトを確認したら、[Stay signed in(サインイン状態を維持する)]機能が有効になり、ユーザーが次回サインインするときに表示されません。
パスワード/IDP/アプリのサインオンルールで許可された任意の要素
グローバルセッションポリシールールのいずれかでプライマリ要素が[Password / IDP / any factor allowed by app sign on rules(パスワード/IDP/アプリのサインオンルールで許可された任意の要素)]に設定されている場合、identifier firstのOkta Sign-in Widgetがアクセスフローの最初の画面としてエンドユーザーに表示されます。
-
ユーザーはドメインを含む完全なアプリの[Username(ユーザー名)]を入力し、[Next(次へ)]をクリックします。
[Keep me signed in(サインインしたままにする)]チェックボックス(またはEA機能を有効にした場合は[Stay signed in(サインイン状態を維持する)])をオンにすると、グローバルセッションポリシールールで指定された期間にわたって、識別子とAuthenticatorの検証情報がデバイスに保持されます。
ユーザー名がorgで認識されていない場合は、Okta Sign-in Widgetでそのユーザー名のアカウントがないという警告が表示され、ユーザーがサインインできないというエラーが返されます。
-
ユーザーは[Security Methods(セキュリティ方式)]ページで、グローバルセッションポリシーと認証ポリシーの両方で許可されているプライマリAuthenticatorオプションを1つ選択します。
-
[Select(選択)]をクリックしてAuthenticatorを選択すると、ユーザーは検証ステップに移動します。このステップでは、必要なAuthenticatorを入力して[Verify(検証)]をクリックします。
[Stay signed in(サインイン状態を維持する)]オプションを有効にした場合、IdPユーザーには、Oktaに再度リダイレクトされたときにもプロンプトが表示されます。ユーザーがプロンプトを確認したら、[Stay signed in(サインイン状態を維持する)]機能が有効になり、ユーザーが次回サインインするときに表示されません。