ファーストパーティアプリの認証ポリシーを変更する

すべてのorgには、 Okta Admin Console、Okta End-User Dashboard、Okta Browser Pluginという、変更可能なプリセットポリシーを含むファーストパーティアプリがあります。

• Okta End-User DashboardまたはOkta Browser Pluginのポリシーを共有するには、「認証ポリシーにアプリを追加する」を参照してください。Admin Consoleのポリシーの共有または切り替えはできません。

• Oktaのアプリポリシーにルールを追加するには、「認証ポリシールールを追加する」を参照してください。

• Oktaのアプリポリシーを編集するには、「認証ポリシーをアップデートする」を参照してください。または、次の一般的なユースケースを参照してください。

Admin Consoleの再認可頻度を構成する

Admin Consoleのポリシーを編集する一般的なユースケースは、管理者がOkta Admin Consoleにアクセスするたびに多要素認証（MFA）を使って再認証する必要がある、より制限の厳しいポリシーを作成することです。デフォルトでは、このポリシーでは管理者にMFAが要求されますが、グローバルセッションポリシーですでにMFAが要求されている場合、管理者に2回目のプロンプトは表示されません。

1. Admin Consoleで、［Security（セキュリティ）］［Authentication Policies（認証ポリシー）］に移動します。

2. Okta Admin Consoleアプリを選択します。

3. ［Rules（ルール）］タブで、［Add Rule（ルールを追加）］をクリックします。

4. ［Rule Name（ルール名）］を入力します（MFA once per dayなど）。

5. 次のルール条件を設定します。

   • ［IF］セクションで［The following users and groups（次のユーザーとグループ）］を選択し、管理者グループを追加します。

   • このルールをゾーンまたはデバイスで制限する場合は、［Location（ロケーション）］フィールドと［Client（クライアント）］フィールドを変更します。

   • ［アクセス］セクションで［prompt for factor（要素を求める）］を選択し、頻度を選択します。

6. ［Save（保存）］をクリックします。

7. ［サインオン］タブで、新しいルールの優先度が最も高いことを検証します。

Admin Consoleセッションライフタイムを構成する

早期アクセスリリース

Okta Admin Consoleのセッションライフタイムとアイドル時間は変更できます。これらの設定は、グローバルセッションポリシーの構成とは独立しています。「グローバルセッションポリシールールを追加する」を参照してください。

1. Admin Consoleで［Applications（アプリケーション）］［Applications（アプリケーション）］に移動します。

2. ［Okta Admin Console］をクリックします。

3. ［サインオン］タブで、［Okta Admin Consoleセッション］セクションの［Edit（編集）］をクリックします。

4. ［Maximum app session lifetime（アプリセッションの最大ライフタイム）］を時間または分で設定します。

   アメリカ国立標準技術研究所（NIST）のガイダンスに基づいて12時間に設定することを推奨します。最大許容時間は24時間で、最小許容時間は1分です。

   セッションの最大ライフタイムは構成されているアイドル時間以上でなければなりません。

5. ［Maximum app session lifetime（アプリセッションの最大アイドル時間）］を時間または分で設定します。

   アメリカ国立標準技術研究所（NIST）のガイダンスに基づいて15分に設定することを推奨します。最大許容時間は2時間で、最小許容時間は1分です。

   10分を超える設定の場合は、タイムアウトしてから5分以内に時間をリセットするためのリンクがあるポップアップが表示されます。10分以下の設定の場合は、タイムアウトしてから30秒以内にポップアップが表示されます。

   アイドル時間の期限は、Admin Console内での操作に基づいてリセットされます。

6. ［Save（保存）］をクリックします。

Admin Console認証ポリシーにAuthenticatorを追加する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

Admin Consoleを保護するには、2つ以上のAuthenticatorの使用を管理者に求める必要があります。この要件を満たすために、既存のルールがユーザーに1つのAuthenticatorによる本人確認のみを求める場合、より多くのAuthenticatorの使用を義務づけることが必要になる場合があります。

1. Admin Consoleで［Security（セキュリティ）］［Authentication Policies（認証ポリシー）］に移動します。
2. Okta Admin Consoleアプリを選択します。
3. ［Rules（ルール）］タブで［Add rule（ルールを追加）］をクリックします。
4. ［Rule Name（ルール名）］（Admin Console用のMFA、など）を入力します。
5. ［IF］セクションに次のルール条件を構成します。
   • ［User's user type is（ユーザーのユーザータイプ）］：任意。［One of the following user types（次のいずれかのユーザータイプ）］を選択し、表示されるフィールドにユーザータイプ（admins（管理者）、など）を入力します。
   • ［User's group membership includes（ユーザーのグループメンバーシップ）］：任意。［At least one of the following groups（次のグループのうち少なくとも1つ）］を選択し、表示されるフィールドに管理者グループを入力します。
   • 必要なその他のIF条件を構成します。
6. ［THEN］セクションに次のルール条件を構成します。
   • ［User must authenticate with（ユーザーが使用する認証方法）］：［Password / IdP + Another factor（パスワード/IdP+別の要素）］または［Any 2 factor types（任意の2要素タイプ）］を選択します。
   • 必要なその他のTHEN条件を構成します。
7. ［Save（保存）］をクリックします。

特定のグループのOkta Dashboardを無効にする

Okta Dashboardポリシーを編集する一般的なユースケースは、別のダッシュボードまたはアプリケーションを使用するorg内のユーザーのアクセスを無効にすることです。

1. Admin Consoleで、［Security（セキュリティ）］［Authentication Policies（認証ポリシー）］に移動します。

2. Okta End-User Dashboardアプリを選択します。

3. ［Rules（ルール）］タブで、［Add Rule（ルールを追加）］をクリックします。

4. ［Rule Name（ルール名）］を入力します（Disable Access to Dashboard for Groupsなど）。

5. 次のルール条件を設定します。

   • ［IF］セクションで新しいルールの対象となるユーザーを指定します。

   • ［THEN］セクションで［Access is（アクセスの可否）］オプションを［Denied（拒否）］に設定します。

関連項目

認証ポリシールールを追加する

認証ポリシーを更新する

認証ポリシーにアプリを追加する