パスワードなしの認証を構成する
メール・オーセンティケーターを使用して、エンド・ユーザー向けのパスワードなしのサインオン・エクスペリエンスを作成できます。
開始する前に
このタスクを開始する前に、すべてのアプリに対して強力なアプリ・サインオン・ポリシーを作成してください。これをすべてのアプリで行わずにデフォルトのアプリ・サインオン・ポリシーを使い続けると、ユーザーが単一の登録済み要素でアプリにアクセスできる可能性があります。
以下の手順を実行します。
この手順を開始する
タスク2:メール・マジック・リンクを使用してアプリへのパスワードなしのアクセスを可能にするアプリ・サインオン・ポリシーの作成
タスク3:パスワードなしの認証をサポートするOktaサインオン・ポリシーの作成
タスク1:メール・オーセンティケーターの構成
メール・オーセンティケーターの構成の手順に従って、メールをオーセンティケーターとして有効にします。手順4では、[認証と復旧]を選択します。
タスク2:メール・マジック・リンクを使用してアプリへのパスワードなしのアクセスを可能にするアプリ・サインオン・ポリシーの作成
このタスクでは、アプリへのパスワードなしのアクセスを許可するアプリのサインオン・ポリシーを構成する方法について説明します。
-
管理コンソールで、[アプリケーション] > に移動します。 [アプリケーション]。
-
サインオン・ポリシー・ルールを作成するアプリを選択します。
-
アプリケーションのメイン・ページで、[サインオン]タブをクリックします。
-
[サインオン・ポリシー]セクションまでスクロールしてから、[ルールを追加]をクリックします。
- IF条件を構成します。これらの条件では、どのような場合にルールを適用するのかを指定します。
IF 説明 IFユーザーのユーザー・タイプ デフォルトでは、ルールはアプリに割り当てられたすべてのユーザー・タイプに適用されます。デフォルトを受け入れるか、範囲に含めるおよび除外するユーザー・タイプを指定します。 ANDユーザーのグループ・メンバーシップ デフォルトでは、ルールはアプリに割り当てられたすべてのグループに適用されます。デフォルトを受け入れるか、範囲に含めるおよび除外するユーザー・グループを指定します。 ANDユーザー: デフォルトでは、ルールはアプリに割り当てられたすべてのユーザーに適用されます。デフォルトを受け入れるか、範囲に含めるユーザーと除外するユーザーを指定します。 ANDユーザーのIP: デフォルトでは、ルールはすべてのIPに適用されます。デフォルトを受け入れるか、ネットワーク・ゾーンを選択します。Oktaで定義済みのゾーンや未定義のゾーンで並べ替えたり、特定のゾーンを構成したりすることが可能です。 ANDデバイスの状態 デフォルトでは、ルールはどの状態のデバイスにも適用されます。デフォルトを受け入れるか、[登録済み]を選択して、Okta Verifyに登録されているデバイスにのみこのルールを適用します。デバイスの登録を参照してください。 ANDデバイス管理 [登録済み]デバイスの状態を選択した場合、サード・パーティーのデバイス管理ソリューションによって管理されるデバイスにのみルールが適用されるかどうかを示します。 ANDデバイス・プラットフォーム: デフォルトでは、ルールはすべてのプラットフォームに適用されます。デフォルトを受け入れるか、特定のプラットフォームを選択してください。 ANDリスクは次のとおりです: デフォルトでは、このルールはあらゆるリスク・レベルの認証試行に適用されます。ルールを選択すると、指定したリスク・レベルのみにルールが制限されます。 リスク・スコアリングを参照してください。 AND次のカスタム式をtrueとする オプションです。式言語(EL)を使用して追加の条件を指定します。挙動とサインオン・ポリシーについてと「Okta式言語」 を参照してください。
- THEN条件を構成します。 これらの条件では、認証を適用する方法を指定します。
THEN
説明
THEN アクセスの可否 [認証の成功後に許可]を選択します。 AND ユーザーが認証に使用する要素 次のいずれかを選択します。 - 1つの必須要素、かつユーザーは所有要素を提供する必要があります。このシナリオでは、エンド・ユーザーがメール・マジック・リンクをクリックするか、電話コードを入力します。エンド・ユーザーがパスワードの入力を求められることはありません。
- 1つの必須要素、かつ登録されている認証要素。このシナリオでは、エンド・ユーザーはパスワードを入力できますが、その他の登録済み要素も機能します。
AND 所有要素の制限 デフォルトで選択されているすべてのチェック・ボックスをオフにします。 ANDOkta FastPassを使用したアクセスを許可これらのオプションでは、Okta FastPassを使用して認証する際に、エンド・ユーザーが物理的に存在していることの証明を要求するかどうかを選択できます。 - ユーザーがOkta Verifyでプロンプトを承認するか、生体認証を提供する(NIST AAL2要件を満たす)場合
このオプションでは、ユーザーが物理的に存在することを証明する必要があります。
- ユーザーがOkta Verifyでプロンプトを承認したり、生体認証を提供したりしない場合
このオプションが選択されていて、アプリのサインオン・ポリシーに所有要素が必要な場合、Okta Verifyで証明書ベースの認証を実行できます。これにより、ユーザーが物理的に存在することを証明せずにリソースにアクセスできるようになります。このオプションはNIST AAL2の要件を満たしていません。さらに、このオプションを選択した場合、セキュリティー上の質問を追加の要素として使用することはできません。
再認証の頻度 [再認証を求めるまでの時間:] [セッションあたり1回]に設定します。 - [保存]をクリックします。
タスク3:パスワードなしの認証をサポートするOktaサインオン・ポリシーの作成
[アプリのサインオン・ルールで許可されているパスワード/IDP/任意の要素]オプションを有効にすると、Oktaサインオン・ポリシーからグローバル・パスワードの要件が削除され、認証基準の定義と適用の責任が各アプリのサインオン・ポリシーに移ります。
- Oktaサインオン・ポリシーを作成する
- Oktaサインオン・ポリシー・ルールを追加するに従って、Oktaサインオン・ポリシーのルールを作成します。
- 手順6で、以下を実行します。デフォルト設定を変更すると、保護されているすべてのアプリに影響することに注意してください。
- [プライマリ要素]の設定に移動し、デフォルトを[アプリのサインオン・ルールで許可されているパスワード/IDP/任意の要素]に変更します。
- [予備の要素]の設定に移動し、選択されていないことを確認します。
- [プライマリ要素]の設定に移動し、デフォルトを[アプリのサインオン・ルールで許可されているパスワード/IDP/任意の要素]に変更します。