グローバルセッションポリシーの評価
ポリシーが特定のユーザーに適用されるかどうかを判断するために、Oktaはポリシーとそのルールの条件を評価します。
- ポリシーには、同じセキュリティ特性を持つアプリや、同じアカウント設定要件を持つユーザーグループなど、同様の扱いが必要なリソースのグループが含まれます。
- ルールは、ある地理的なロケーションからの要求や、信頼できるネットワークにユーザーが接続しているかどうかなど、ポリシーの動作の条件を記述します。すべてのポリシーには少なくとも1つのルールが含まれます。
異なるシナリオに合わせて条件の組み合わせを作成できます。ベストプラクティスとして、限定的なルールを[Priority(優先度)]リストの最上位に配置します。ポリシーに含めることができるルールの数に制限はありません。
ポリシーを作成して「Admins」というグループに割り当てるのであれば、管理者のニーズに関連する条件をカスタマイズできます。たとえば、管理者が企業ネットワークの内部からサインインするか外部からサインインするかなど、特定の条件の下でのみセルフサービスのロック解除を許可できます。
システムログイベント
認証の問題の特定と解決に役立つ次のシステムログイベントを利用できます。
policy.evaluate_sign_on
- このイベントは、ユーザーの認証試行のステータス(成功または失敗)を返します。使用されたAuthenticatorのタイプやインスタンスなど、Authenticatorの登録情報が提供されます。
- このイベントは、ユーザーがコードを入力したとき、またはプッシュ通知に応答したときにアクティブ化されます。コードまたはプッシュ通知が送信されてもアクティブ化されません。「多要素認証」を参照してください。
user.authentication.auth_via_mfa
- このイベントは、ユーザーがアクセスしたアプリケーションや一致したポリシールールなど、グローバルセッションポリシーまたは認証ポリシーの評価情報を返します。認証シーケンス中に、サインオンポリシーの評価は複数回行われる場合があります。
- このイベントには、Allow、Deny、Challengeの各値を指定できます。Challengeは、追加のユーザー認証が必要であったことを示します。
user.session.start
- このイベントは、IDプロバイダーセッションの確立に関連するユーザーの最初のAuthenticator検証試行のステータスを返します。ユーザーが誤ったAuthenticatorを入力すると、
VERIFICATION_ERRORが返されます。 - このイベントは、プライマリ認証チャレンジが提供された後にトリガーされます。ログには、ユーザーID、セッション開始時刻、使用された認証方法が記録されます。アクセストークンが付与されたことは示されません。
詳細については、「システムログ」を参照してください。
備考
- グローバルセッションポリシーは、セッション全体の有効期間を制御しますが、再認証の頻度は認証ポリシーによって制御されます。
- エンドユーザーのセッションの有効期限は、グローバルセッションポリシーの[Maximum Okta global session idle time(Oktaグローバルセッションの最大アイドル時間)]設定に従います。この時間が経過すると、サインイン時に[Keep me signed in(サインインしたままにする)]オプションを選択したかどうかに関係なく、ユーザーは認証ポリシールールに従って再認証する必要があります