Oktaサインオン・ポリシーの評価
特定のユーザーにポリシーが適用されるかどうかを判断するために、Oktaはポリシーとそのルールの条件を評価します。
- ポリシーには、同じセキュリティー特性を持つアプリや、同じアカウント設定要件を持つユーザー・グループなど、同様の扱いが必要なリソースのグループが含まれています。
- ルールは、ある地理的なロケーションからの要求や、信頼できるネットワークにユーザーが接続しているかどうかなど、ポリシーの挙動の条件を記述します。すべてのポリシーには、適用する前に少なくとも1つのルールが必要です。
ベスト・プラクティスとして、制限ルールは優先度リストの一番上に配置する必要があります。さらに、複数のシナリオの条件の組み合わせを作成できます。ポリシーが持つことができるルールの数に制限はありません。
たとえば、グループ「Admins」に割り当てるポリシーを作成する場合は、管理者のニーズに関連する条件を作成できます。ポリシーに適用されるルールは、特定の条件下でのみセルフ・サービスのロック解除を許可するルールなどがあります。特定の管理者が会社のネットワークに接続しているかどうかも、条件の1つにすることができます。
システム・ログ・イベント
認証の問題の特定と解決に役立つ次のシステム・ログ・イベントを使用できます。
policy.evaluate_sign_on
- ユーザー認証プロンプトの検証の成功または失敗を返し、使用されたオーセンティケーター・タイプおよび特定のオーセンティケーター・インスタンスを含むオーセンティケーター登録情報を提供します。
- このイベントは、ユーザーがコードを入力したとき、またはプッシュ通知に応答したときにアクティブ化されます。コードまたはプッシュ通知が送信されたときはアクティブ化されません。多要素認証を参照してください。
user.authentication.auth_via_mfa
- アクセスされているアプリケーションや一致したポリシー・ルールなど、Oktaサインオン・ポリシーまたはアプリ・サインオン・ポリシーの評価情報を返します。サインオン・ポリシーの評価は、認証シーケンス中に複数回行われる場合があります。
- このイベントには、Allow、Deny、Challengeの各値を指定できます。Challenge値は、追加のユーザー認証が必要だったことを示します。
user.session.start
- ユーザーの最初のオーセンティケーター検証試行のステータスを返します。ユーザーが誤ったオーセンティケーターを入力すると、
VERIFICATION_ERROR
が返されます。
詳細については、「システム・ログ」を参照してください。
注
-
Oktaサインオン・ポリシーは、セッション全体の有効期間を制御しますが、再認証の頻度は、アプリのサインオン・ポリシー・ルールによって制御されます。
-
エンド・ユーザーのセッションは、Oktaサインオン・ポリシーの[セッションは次の経過後に期限切れになります:]の設定に従って期限切れになります。この時点で、エンド・ユーザーは、サインイン時に[サインインしたままにする]オプションを選択したかどうかに関係なく、アプリのサインオン・ポリシー・ルールに従って再認証する必要があります。