Oktaサインオン・ポリシー・ルールを追加する

ルールは、ある地理的なロケーションからの要求や、信頼できるネットワークにユーザーが接続しているかどうかなど、ポリシーの挙動の条件を記述します。Oktaサインオン・ポリシーに含めることができるルールの数に制限はありませんが、Oktaサインオン・ポリシーを適用する前に少なくとも1つのルールを追加しておく必要があります。

  1. 管理コンソールで、[セキュリティー] > に移動します [Oktaのサインオン・ポリシー]
  2. ルールを追加するポリシーを選択します。
  3. [ルールを追加]をクリックします。
  4. [ルール名]フィールドに、作成するルールのわかりやすい名前を追加します。
  5. 任意:[ユーザーを除外]フィールドに、ルールから除外するグループの個々のユーザーを示します。
  6. 条件を示します。
    IF ユーザーのIP:
    • ドロップダウン・メニューを使用して場所のパラメーターを割り当てます。
    • [すべての場所][ゾーン内][ゾーン外]のうち、どの場合に認証を行うように促すかを指定できます。
    • アクセスを選択できるゲートウェイ設定にアクセスするには、[ネットワークの構成を管理]をクリックします。ネットワーク・ゾーンについてを参照してください。
    AND 次で認証:このドロップダウン・メニューを使用して、必要な認証方法を指定します。
    AND 挙動挙動タイプまたは名前付き挙動を入力します。動作タイプについてを参照してください。
    AND リスク・レベルリスク・レベルを[低][中][高]から選択して、ルールの一致に必要なリスクのレベルを変更します。 リスク・スコアリングを参照してください。
    THEN アクセスの可否前のドロップダウン・メニューの認証フォームに基づき、このフォームを使用して条件がアクセスを許可または拒否するかを決定します。
    AND プライマリ要素
    • [パスワード/IDP]または[アプリのサインオン・ルールで許可されているパスワード/IDP/任意の要素]を選択します。

    • パスワードなしの認証を設定するには、パスワードなしの認証を構成するを参照してください。

    AND 予備の要素
    • 予備の要素が必要かどうかを示します。
    • このボックスを選択すると、デバイスごと、サインオンごと、または指定したセッション時間ごとにトリガーされるプロンプトを決められるラジオ・ボタンも表示されます。
    • [毎回]を選択すると、エンド・ユーザーは多要素認証プロンプトを制御できなくなります。これらのオプションのユーザー・エクスペリエンスの詳細については、「エンド・ユーザーによる多要素認証プロンプトの制御」を参照してください。
    • [多要素認証の構成を管理]リンクをクリックすると、[認証]ページと[オーセンティケーター]タブにすばやくアクセスできます。それぞれの認証オプションの詳細については、「オーセンティケーターと多要素認証の登録」を参照してください。

    注意:この時点で、こちらをパスワードなしのポリシーにすることが可能です。

    要素のライフタイム
    • 予備の要素が必要な場合、このドロップダウン・メニューを使用して、ユーザーが予備の要素の入力を再度試行できるまでの経過時間を指定します。
    • ライフタイムはデフォルトで15分となっていて、最長期間は6か月です。

    セッションは次の経過後に期限切れになります:

    • 認証プロンプトがトリガーされるまでの最大アイドル時間を指定します。
    • エンド・ユーザーのセッションが期限切れになる5分前に、ダッシュボードにカウントダウン・タイマーとセッションを延長するためのオプションが表示されます。セッションのライフタイムはデフォルトで2時間となっていて、最長の許容期間は90日です。
  7. [ルールを作成]をクリックします。

サインインしたままにする

Oktaでは、管理者が、ユーザーのログインの負担を最小限に抑えるOktaサインオン・ポリシーを作成することができます。

管理者は、永続的Cookieの使用を許可できます。これにより、ブラウザー・セッションが終了した後もデバイス上でユーザーのOktaセッションCookieが維持されます。管理者は、ユーザーがOktaにサインインするときに2つ目の要素の入力を求める頻度を指定することもできます。エンド・ユーザーは、サインイン・ウィジェットで[サインインしたままにする]を選択することで、この機能にオプトインできます。このチェック・ボックスにより、サインオン・ポリシーで指定された期間、エンド・ユーザーの識別子とオーセンティケーターの検証情報がデバイスに保持されます。

エンド・ユーザーがサインアウトするか、セッションが期限切れになると、エンド・ユーザーのオーセンティケーターの検証が消去されます。[サインインしたままにする]チェック・ボックスを選択したユーザーも、現在のデバイスで少なくとも1回は多要素認証に合格する必要があります。

必須の予備の要素

Oktaサインオン・ポリシー・ルールで、[予備の要素]が必要と設定され、[デバイスごとに1回]が設定されている場合:

ユーザーが[サインインしたままにする]を選択した場合、セッションが期限切れになったりユーザーがサインアウトしたりしても、デバイスのCookieが消去されておらず、デバイス・トークンがまだ有効なときは、2つ目のオーセンティケーターの入力を求められません。

Oktaサインオン・ポリシーで、[予備の要素]が必要と設定され、[セッションあたり1回]が設定されていて、[要素のライフタイム]が設定されている場合:

Oktaサインオン・ポリシーで設定されている[要素のライフタイム]に基づいて追加のオーセンティケーターを検証するようにユーザーが求められることはありません。

たとえば、[要素のライフタイム]が10日に設定されている場合、ユーザーは10日後にセカンダリ・オーセンティケーターの入力を求められます。ユーザーのセッションが期限切れになるか、ユーザーがセッションからサインアウトすると、プライマリ・オーセンティケーターの入力を求められます。

Oktaサインオン・ポリシーが[アプリのサインオン・ポリシー・ルールで許可されているパスワード/IDP/任意の要素]に設定されている場合:

パスワードはセカンダリ・オーセンティケーターとして使用できず、パスワードなしの認証は使用できません。

Oktaサインオン・ポリシーが[パスワード/IDP]に設定されている場合:

セキュリティー上の質問は、MFA/SSOのセカンダリ・オーセンティケーターとしてのみ使用できます。Oktaでは、どの認証フローでもセキュリティー上の質問を使用しないことを推奨しています。

永続的Cookieについて

Oktaサインオン・ポリシー・ルールに永続的Cookieが設定されている場合は、[サインインしたままにする]機能により、ブラウザーを閉じた後もユーザーがサインインしたままになるようにブラウザーのセッションCookieが保持されます。

注

:サインオン・ポリシーの永続的Cookieは、Okta APIのusePersistentCookieオプションを設定することによってのみ構成できます。「セッションと永続的シングル・サインオン」を参照してください。

usePersistentCookieが構成されている場合:

  • APIは、ブラウザー・セッション間で持続するCookieを設定します。ユーザーがブラウザーを終了して再度ブラウザーを開いた場合、ユーザーがサインアウトしない限り、ブラウザー・セッションは保持されます。
  • 永続的Cookieは、Oktaサインオン・ポリシーの設定に従い、セッションが期限切れになるまで有効です。
  • Okta管理者ユーザーに永続的Cookieが設定されることはありません。

Oktaサインオン・ポリシー・ルールに関する注意事項

  • 制限の多いルールを[優先度]リストの上に配置します。
  • 全員ルールが優先度リストの一番上にある場合、特別な条件は適用されず、ポリシーの評価は不要です。複数のルールが存在し、最初のルールの条件が満たされない場合、Oktaによってそのルールがスキップされ、次のルールが評価されます。
  • Oktaサインオン・ポリシーは、セッション全体の有効期間を制御しますが、再認証の頻度は、アプリのサインオン・ポリシー・ルールによって制御されます。
  • エンド・ユーザーのセッションは、Oktaサインオン・ポリシーの[セッションは次の経過後に期限切れになります:]の設定に従って期限切れになります。この時点で、エンド・ユーザーは、サインイン時に[サインインしたままにする]オプションを選択したかどうかに関係なく、Oktaサインオン・ポリシー・ルールに従って再認証する必要があります。
  • AND [次で認証:]の条件がLDAPに設定されている場合、AND [プライマリ要素]の選択は無効になります。LDAPインターフェースのバインド要求では、多要素認証情報を含むユーザー名とパスワードが引き続き必要になる場合があります。 LDAPインターフェースで多要素認証を使用するを参照してください。

関連項目

Oktaのサインオン・ポリシー

アプリのサインオン・ポリシー

エンド・ユーザーの登録