サインインしたままにする
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
[Keep me signed in (KMSI)(サインイン状態を維持する(KMSI))]は、サインイン情報が記憶されたデバイスにおいてサインインの煩わしさを軽減するユーザビリティ機能です。認証が成功した後、[Keep me signed in(サインイン状態を維持する)]を選択したユーザーは、MFAの有効期限が切れるかブラウザーのクッキーが消去されるまで、その後のMFAのプロンプトを受け取りません。
この機能を使用すると、攻撃面が増える可能性があるため、公共部門や高度に規制された顧客、共有デバイス、または機密データにアクセスするアカウントやアプリには適さない場合があります。
このEA機能を有効にしない場合は、ナビゲーションが変わります。「サインイン状態を維持する(GA)」を参照してください。
仕組み
この機能は、ユーザー認証の前または後にKMSIプロンプトが表示されるように構成することができます。
-
標準の認証フローでは、ユーザーは直接アプリまたはorgのサインインページに移動し、資格情報を入力します。ユーザーが資格情報を入力したときにSign-In Widgetでプロンプトが表示されるようにしたい場合は、認証前KMSIを構成します。認証完了後にプロンプトを表示させるようにしたい場合は、認証後KMSIを構成します。
-
委任認証フローでは、ユーザーはSign-In Widgetをバイパスし、IDプロバイダーを使用してサインインします。これらのユーザーに対して、認証後KMSIを構成すると、認証後にKMSIオプションが表示され、Oktaにリダイレクトされるようになります。
認証前KMSIを構成する
認証前KMSIは[Organization Security(組織のセキュリティ)]設定で指定され、グローバルセッションポリシーのMFAライフタイムを使用します。有効にすると、org内のすべてのユーザーがこれを使用できるようになります。
機能を有効にする
-
Admin Consoleで、 の順に進みます。
-
[Organizational Security(組織のセキュリティ)]セクションで[Edit(編集)]をクリックします。
-
[Show option to stay signed in before users sign in(ユーザーのサインイン前にサインイン状態を維持するオプションを表示する)]設定を有効にします。
-
[Save(保存)]をクリックします。
ポリシーを変更する
-
グルーバルセッションポリシーを作成するか、 グルーバルセッションポリシーを編集します。
-
次のルール条件を設定します。
-
[Multifactor authentication (MFA) is(多要素認証(MFA))]:必要
-
[Users will be prompted for MFA(ユーザーにMFA用のプロンプトを表示)]:MFAのライフタイムがデバイスのクッキーに対して有効期限切れになった後
-
-
[Keep me signed in(サインインしたままにする)]機能をアプリに拡張するには、その認証ポリシーを更新します。
-
次のルール条件を設定します。
-
[User must authenticate with(ユーザーの認証に必要な要素)]:2要素タイプ(いずれかのオプション)
-
[Prompt for authentication(認証のためのプロンプト)]:Oktaグローバルセッションが存在しない場合
-
認証後KMSIを構成する
認証後KMSIは、認証ポリシー内のアプリレベルで設定されるため、アプリ単位で構成することができます。また、意図したKMSIの有効期間が守られるように、グローバルセッションポリシーも変更する必要があります。
グローバルセッションポリシーを変更する
-
Admin Consoleで、 に移動します。
-
デフォルトポリシーを選択し、[Edit(編集)]をクリックします。
-
次のIF条件を設定します。
-
[User's IP is(ユーザーのIP)]:すべての場所
-
[Identity provider is(IDプロバイダー)]:空白
-
[Authenticates via(認証手段)]:任意
-
[Behavior is(挙動)]:空白
-
[Risk is(リスク)]:空白
-
-
次のTHEN条件を設定します:
-
[Access is(アクセス)]:許可
-
[Establish the user session with(次を使用してユーザーセッションを確立:)]:[Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]
-
[Multifactor authentication (MFA) is(多要素認証(MFA))]:要求しない
-
[Maximum Okta global session lifetime(Oktaグローバルセッションの最大ライフタイム)]:制限時間なし
-
[Maximum Okta global session lifetime(Oktaグローバルセッションの最大アイドル時間)]:2時間
-
[Okta global session cookies persist across :(Oktaグローバルセッションクッキーを保持)]:無効
-
-
[Save(保存)]をクリックします。
認証後KMSIの認証ポリシーを作成する
-
Admin Consoleで に移動します。
-
[Any two factors(任意の2要素タイプ)]ポリシーを選択します。
-
キャッチオールルールの[Actions(アクション)]メニューで、[Edit(編集)]を選択します。
-
次のIF条件を設定します。
-
[User type(ユーザータイプ)]:任意のユーザータイプ
-
[User group membership includes(ユーザーのグループメンバーシップ)]:任意のグループ
-
[User is(ユーザー)]:任意のユーザー
-
[Device state is(デバイスの状態)]:任意」
-
[Device assurance policy is(デバイス保証ポリシー:)]:[ポリシーなし]
-
[Device platform is(デバイスプラットフォーム)]:任意のプラットフォーム
-
[User's IP is(ユーザーのIP)]:任意のIP
-
[Risk is(リスク)]:任意
-
[The following custom expression is true(次のカスタム式をtrueとする)]:空白
-
-
次のTHEN条件を設定します。
-
[Access is(アクセス:)]:認証の成功後に許可
-
[User must authenticate with(ユーザーが使用する認証方法)]:任意の2要素タイプ
-
[Possession factor constraints are(所有要素の制約)]:ユーザーの操作を必要とする(または、orgが必要とする追加の制約を選択)
-
[Authentication methods(認証方法)]:特定の認証方法を許可する(続いて、許可する鑑別工具を入力)
-
[Option to stay signed in(サインしたままにするオプション):ユーザーがサインインした後に表示
-
[Show when not previously shown on the user's current device in the past(ユーザーの現在のデバイスで過去に表示されていなかった場合に表示)]:7日
-
[Prompt for authentication(認証のプロンプト)]:アクティブなOktaグローバルセッションによって保護されるリソースにユーザーがアクセスしてから指定の時間が経過したとき
-
[Time since last sign in(前回のサインインからの経過時間)]:7日
-
-
[Save(保存)]をクリックします。
-
ポリシーの[Applications(アプリケーション)]タブに進みます。
-
[Add app(アプリを追加)]または[Switch policy(ポリシーの切り替え)]をクリックして、アプリをポリシーに追加します。
この構成はご自身のユースケースに合わせて調整できますが、最後の2つの条件はKMSIにとって不可欠です。グローバルセッションポリシーにMFA(多要素認証)が必要ない場合、認証ポリシーは指定の期間を超えたときに認証を求める必要があります。異なる設定を選択すると、KMSIのプロンプトの表示頻度が高くなりますが、ユーザーの選択は保持されません。
グローバルセッションポリシーがMFA(多要素認証)を必要とする場合、認証ポリシーは指定の期間を超えたときやグローバルセッションが存在しない場合に認証を求めることができます。
シームレスなユーザーエクスペリエンスを実現するには、[Option to stay signed in(サインしたままにするオプション)]の期間と[Prompt for authentication(認証のプロンプト)]の期間を一致させてください。これが一致しない場合、MFAのプロンプトが表示された後、[Keep me signed in(サインイン状態を維持する)]プロンプトが表示されないことがあります。
ユーザーのKMSIをリセット
個人ユーザーの[Keep me signed in(サインイン状態を維持する)]をリセットし、すべてのセッションを消去することができます。
-
Admin Consoleで に移動します。
-
ユーザーを選択します。
-
[More Actions(その他のアクション)]メニューで、[Clear User Sessions(ユーザーセッションを消去)]を選択します。
-
[Clear Sessions & Revoke Tokens(セッションを消去してトークンを取り消す)]をクリックします。
ユーザーがorgに次回アクセスしたときには、[Keep me signed in(サインインしたままにする)]オプションが表示されます。
ユーザーエクスペリエンス
認証前KMSIフローでは、ユーザーはSign-In Widgetにユーザー名を入力するときに[Keep me signed in(サインインしたままにする)]を選択してから、MFAを指定して認証を完了します。
認証後KMSIフローでは、orgのサインインページにアクセスしたユーザーは、[Keep me signed in(サインインしたままにする)]を選択する前にIDプロバイダーにリダイレクトされる場合があります。認証後、これらのユーザーはOktaにリダイレクトされた際に[Stay signed in(サインインしたままにする)]を選択します。
いずれの場合も、[Keep me signed in(サインイン状態を維持する)]を選択したユーザーは、認証ポリシーで設定された期間中、そのデバイスにログイン状態が記憶されます。ダッシュボードのアカウント設定メニューを開き、[End All Sessions(すべてのセッションを終了)]セクションで[Sign Out(サインアウト)]を選択することで、KMSIプロンプトを手動でリセットし、すべてのセッションを消去することができます。ユーザーがorgに次回アクセスしたときには、[Keep me signed in(サインインしたままにする)]オプションが表示されます。
Keep me signed in(サインインしたままにする)(GA)
この機能の一般公開版では、両方の表示オプションが[Organization Security(組織のセキュリティ)]設定で利用できます。これはグローバルな設定なので、アプリ単位で設定することはできません。
- Admin Consoleで、 の順に進みます。
- [Organizational Security(組織のセキュリティ)]セクションで[Edit(編集)]をクリックします。
-
このオプションをサインイン ウィジェットにのみ表示するには、この機能を有効にしてから[Before users sign in(ユーザーがサインインする前)]を選択します。これはデフォルト設定です。
-
このオプションをサインイン ウィジェットに加えて、ユーザーが認証した後も表示するには、この機能を有効にしてから[Before and after users signed in(ユーザーがサインインする前後)]を選択します。このオプションは、代理認証またはIDプロバイダーを使用しているorgに推奨されます。
-
[Save(保存)]をクリックします。
ポリシーを変更する
グローバルセッションポリシーと認証ポリシーのルールをKMSI機能に必ず対応させてください。
-
グルーバルセッションポリシーを作成するか、 グルーバルセッションポリシーを編集します。
-
次のルール条件を設定します。
-
[Multifactor authentication (MFA) is(多要素認証(MFA))]:必要
-
[Users will be prompted for MFA(ユーザーにMFA用のプロンプトを表示)]:MFAのライフタイムがデバイスのクッキーに対して有効期限切れになった後
-
-
[Keep me signed in(サインインしたままにする)]機能をアプリに拡張するには、その認証ポリシーを更新します。
-
次のルール条件を設定します。
-
[User must authenticate with(ユーザーの認証に必要な要素)]:2要素タイプ(いずれかのオプション)
-
[Prompt for authentication(認証のためのプロンプト)]:Oktaグローバルセッションが存在しない場合
-