Authenticator登録ポリシーを作成する
Authenticator登録ポリシーを作成し、エンドユーザーがAuthenticatorにいつどのように登録するかを管理します。Authenticator、ユーザーグループ、および状況に固有のプロファイルを作成できます。
セルフサービス登録に必須とするAuthenticatorでは、猶予期間を使用しないでください。これらのAuthenticatorに対して別のポリシーを作成し、猶予期間は設定しないでください。
開始する前に
ユーザーがサインインに使用するAuthenticatorを構成します。少なくとも1つのAuthenticatorを認証(MFA/SSO)用に有効にする必要があります。構成するAuthenticatorは、orgのサインオンポリシーのセキュリティ要件を満たす必要があります。「多要素認証」を参照してください。
ポリシーで猶予期間を使用するには、Sign-In Widgetをバージョン7.28にアップグレードしてください。
ポリシーを作成する
- Admin Consoleで に移動します。[Enrollment(登録)]タブを開きます。
- [Add a Policy(ポリシーを追加)]をクリックします。
- [Policy name(ポリシー名)]および[Policy description(ポリシーの説明)]を入力します。
- [Assign to groups(グループに割り当てる)]で、このポリシーを適用するユーザーグループを1つ以上入力します。
- 構成したAuthenticatorごとに、登録が[Optional(任意)]、[Required(必須)]、または[Disabled(無効)]かを指定します。
- 少なくとも1つのAuthenticatorを[Required(必須)]にする必要があります。
- 別のポリシーでAuthenticatorが必須になっている場合、そのAuthenticatorに[Disabled(無効)]は使用できません。
- 早期アクセス。必須のAuthenticatorに[Grace period(猶予期間)]を設定するか、または[None(なし)]を選択してユーザーの初回サインイン時に要求します。
-
[Create policy(ポリシーを作成)]をクリックします。ポリシーが[Enrollment(登録)]タブに表示され、[Active(アクティブ)]に設定されます。
ポリシーを編集する
-
ポリシーを非アクティブ化するには、[Active(アクティブ)]ドロップダウンメニューをクリックし、[Deactivate(非アクティブ化)]を選択します。非アクティブなポリシーはどのユーザーにも適用されません。
-
ポリシーを更新するには、ポリシーの[Edit(編集)]ボタンをクリックします。変更を加えて[Update policy(ポリシーを更新)]をクリックします。
-
ポリシーを削除するには、ポリシーの[Delete(削除)]ボタンをクリックします。ポリシーを削除すると、そのポリシーは復旧できません。デフォルトのポリシーは削除できません。
-
ポリシーの優先順位を付け直すには、リストのポリシーを目的のレベルにドラッグアンドドロップします。
ユーザーエクスペリエンス
ユーザーがOktaまたはOktaで保護されたアプリにアクセスする際に必須となるAuthenticatorを登録していない場合、Sign-In Widgetによって登録の完了を求められます。その後、ユーザーは任意のAuthenticatorを登録するよう求められ、登録せずに続行するオプションが表示されます。無効化されたAuthenticatorは、ユーザーがそのAuthenticatorを登録していた場合でも、サインイン時にユーザーには表示されません。
猶予期間と認証ポリシー
必須のAuthenticatorに猶予期間を構成した場合、ターゲットアプリの認証ポリシーを満たすユーザーは、猶予期間が終了するまで登録せずにアプリを使い続けることができます。ターゲットアプリの認証ポリシーを満たさないユーザーは、必須のAuthenticatorをすぐに登録する必要があります。
アプリの認証ポリシーでユーザーにサインイン前にAuthenticatorの登録を求めている場合、その猶予期間は無視されます。
Okta Sign-In Widget
必須のAuthenticatorの表示が、第2世代と第3世代のSign-In Widgetでは多少異なります。
-
第2世代では、必須のAuthenticatorがすべて1つのリストで表示されます。[Continue(続行)]オプションは、まだ猶予期間中のユーザーにのみ表示されます。
-
第3世代では、ユーザーは現在必須のAuthenticatorのリストと、まだ猶予期間にあるAuthenticatorの別のリスト([Continue(続行)]オプションあり)を確認できます。すべてのAuthenticatorがまだ猶予期間にある場合、ユーザーには[Remind me later(後で通知)]オプションのあるリストが1つ表示されます。
制限事項
セルフサービス登録のメール確認では、猶予期間はサポートされません。セルフサービス登録にメール確認を使用する場合、このAuthenticatorに猶予期間を設定しないでください。