Admin ConsoleのMFAを有効にする
Admin Consoleにアクセスする際にMFAを必須にします。必要なAuthenticatorを管理者が登録していなかった場合、Admin Consoleへのアクセスを試みると要素の登録が求められます。
開始する前の確認事項
orgのAuthenticatorを少なくとも2つ有効にします。多要素認証を参照してください。Oktaでは、Okta FastPassやPasskeys(FIDO2 WebAuthn)のようなフィッシング耐性のあるAuthenticatorを少なくとも1つ有効にすることをお勧めします。
ポリシーでMFAを有効にする
-
Admin Consoleでに移動します。
- アプリのサインイン(App sign-in)をクリックします。
- Okta Admin Consoleポリシーを開き、管理者アプリポリシー(Admin App Policy)ルールを編集(Edit)モードで開きます。
- ルールを編集します。「認証ポリシールールを追加する」を参照してください。次の条件を構成します。
- ユーザーが認証に使用する要素(User must authenticate with):いずれかの2要素タイプ(2 factor types)オプションを選択します。
- 所有要素の制約(Possession factor constraints are):所有要素の必要な特性を指定します。フィッシング耐性のある所有要素を必須にすることを推奨します。Okta
- 認証のためのプロンプト(Prompt for authentication):Oktaがユーザーに認証を求める頻度を選択します。Oktaでは、ユーザーがリソースにサインインするたび(every time the user signs in to the resource)に認証を求めることを推奨します。
- 保存(Save)をクリックします。
- これらの手順を繰り返して、MFAを必須とするようにキャッチオール(Catch-all)ルールを編集します。
Admin ConsoleへのアクセスにMFAを強制適用する
この機能は、Admin Consoleにアクセスする際にMFAを必須にします。単一要素でAdmin Consoleを保護する認証ポリシールールを自動的に2要素に更新します。この機能では、新しいルールも2要素にする必要があります。
この機能を有効にするには、セットアップ前に次の操作を行う必要があります。
- MFAに必要なAuthenticatorがあることを確認する。
- 管理者が認証要件を満たせるように、Authenticator登録ポリシーで十分なAuthenticatorが有効になっていることを確認する。
- すべての管理者が2つ以上のAuthenticatorに登録されていることを確認する。
この機能を無効にしても、2要素に更新されたポリシーが自動的に単一要素に戻ることはありません。
Admin Consoleの認証フロー
アクティブなセッションがあり、MFAが有効になっている場合、他のOktaファーストパーティアプリからAdmin Consoleに切り替えたときにセッションが維持されます。これには、直接URLからAdmin Consoleにアクセスする場合や、End-User Dashboardの管理者(Admin)ボタンを使用する場合が含まれます。認証動作の例については、次のシナリオを参照してください。
|
シナリオ |
動作 |
|---|---|
| アクティブなセッションが存在する場合に、Admin Consoleに移動する。 | MFAプロンプトなしで、すぐにAdmin Consoleにリダイレクトされます。 |
| カスタムドメインを使用して、異なるユーザーとして複数のAdmin Consoleセッションを開く。 | アクティブセッションとは異なるユーザーとしてサインインを試みると、アクティブセッションユーザーにリダイレクトされます。Admin Consoleでは、ブラウザーごとに1つのアクティブセッションのみが許可されます。 |
| End-User DashboardからAdmin Consoleにサインインする。 | ポリシーに従ってAdmin Consoleにサインインしています。 |