グローバルセッションポリシーの評価
特定のユーザーにポリシーが適用されるかどうかを判断するために、Oktaはポリシーとそのルールの条件を評価します。
- ポリシーには、同じセキュリティ特性を持つアプリや、同じアカウント設定要件を持つユーザーグループなど、同様の扱いが必要なリソースのグループが含まれています。
- ルールは、ある地理的なロケーションからの要求や、信頼できるネットワークにユーザーが接続しているかどうかなど、ポリシーの動作の条件を記述します。すべてのポリシーには少なくとも1つのルールが含まれます。
ベストプラクティスとして、制限ルールは[Priority(優先度)]リストの一番上に配置する必要があります。さらに、複数シナリオの条件の組み合わせを作成できます。ポリシーに含めることができるルールの数に制限はありません。
たとえば、グループ「Admins」に割り当てるポリシーを作成する場合は、管理者のニーズに関連する条件を作成できます。ポリシーに適用されるルールは、特定の条件下でのみセルフサービスのロック解除を許可するルールなどがあります。特定の管理者が会社のネットワークに接続しているかどうかも、条件の1つにすることができます。
System Logイベント
認証の問題の特定と解決に役立つ次のSystem Logイベントを使用できます。
policy.evaluate_sign_on
- ユーザー認証プロンプトの検証の成功または失敗を返し、使用されたAuthenticatorタイプおよび特定のAuthenticatorインスタンスを含むAuthenticator登録情報を提供します。
- このイベントは、ユーザーがコードを入力したとき、またはプッシュ通知に応答したときにアクティブ化されます。コードまたはプッシュ通知が送信されてもアクティブ化されません。「多要素認証」を参照してください。
user.authentication.auth_via_mfa
- アクセスされているアプリケーションや一致したポリシールールなど、グローバルセッションポリシーまたは認証ポリシーの評価情報を返します。サインオンポリシーの評価は、認証シーケンス中に複数回行われる場合があります。
- このイベントには、Allow、Deny、Challengeの各値を指定できます。Challengeは、追加のユーザー認証が必要だったことを示します。
user.session.start
- ユーザーの最初のAuthenticator検証試行のステータスを返します。ユーザーが誤ったAuthenticatorを入力すると、
VERIFICATION_ERRORが返されます。
詳細については、「System Log」を参照してください。
備考
-
グローバルセッションポリシーは、セッション全体の有効期間を制御しますが、再認証の頻度は、認証ポリシーによって制御されます。
-
エンドユーザーのセッションは、グローバルセッションポリシーの[Oktaグローバルセッションの最大アイドル時間]設定に従って期限切れになります。この時点で、エンドユーザーは、サインイン時に[Keep me signed in(サインインしたままにする)]オプションを選択したかどうかに関係なく、認証ポリシールールに従って再認証する必要があります