グローバルセッションポリシーの評価
特定のユーザーにポリシーが適用されるかどうかを判断するために、Oktaはポリシーとそのルールの条件を評価します。
- ポリシーには、同じセキュリティ特性を持つアプリや、同じアカウント設定要件を持つユーザーグループなど、同様の扱いが必要なリソースのグループが含まれています。
- ルールは、ある地理的なロケーションからの要求や、信頼できるネットワークにユーザーが接続しているかどうかなど、ポリシーの行動の条件を記述します。すべてのポリシーには、適用する前に少なくとも1つのルールが必要です。
ベストプラクティスとして、制限ルールは[Priority(優先度)]リストの一番上に配置する必要があります。さらに、複数のシナリオの条件の組み合わせを作成できます。ポリシーが持つことができるルールの数に制限はありません。
たとえば、グループ「Admins」に割り当てるポリシーを作成する場合は、管理者のニーズに関連する条件を作成できます。ポリシーに適用されるルールは、特定の条件下でのみセルフサービスのロック解除を許可するルールなどがあります。特定の管理者が会社のネットワークに接続しているかどうかも、条件の1つにすることができます。
System Logイベント
認証の問題の特定と解決に役立つ次のSystem Logイベントを使用できます。
policy.evaluate_sign_on
- ユーザー認証プロンプトの検証の成功または失敗を返し、使用されたオーセンティケータータイプおよび特定のオーセンティケーターインスタンスを含むオーセンティケーター登録情報を提供します。
- このイベントは、ユーザーがコードを入力したとき、またはプッシュ通知に応答したときにアクティブ化されます。コードまたはプッシュ通知が送信されたときはアクティブ化されません。「多要素認証」を参照してください。
user.authentication.auth_via_mfa
- アクセスされているアプリケーションや一致したポリシールールなど、グローバルセッションポリシーまたは認証ポリシーの評価情報を返します。サインオンポリシーの評価は、認証シーケンス中に複数回行われる場合があります。
- このイベントには、Allow、Deny、Challengeの各値を指定できます。Challenge値は、追加のユーザー認証が必要だったことを示します。
user.session.start
- ユーザーの最初のオーセンティケーター検証試行のステータスを返します。ユーザーが誤ったオーセンティケーターを入力すると、
VERIFICATION_ERRORが返されます。
詳細については、「System Log」を参照してください。
備考
-
グローバルセッションポリシーは、セッション全体の有効期間を制御しますが、再認証の頻度は、認証ポリシールールによって制御されます。
-
エンドユーザーのセッションは、グローバルセッションポリシーの[Session expires after(セッションは次の経過後に期限切れになります:)]設定に従って期限切れになります。この時点で、エンドユーザーは、サインイン時に[Keep me signed in(サインインしたままにする)]オプションを選択したかどうかに関係なく、認証ポリシールールに従って再認証する必要があります。