資格情報侵害保護を構成する
資格情報侵害保護は、パスワードポリシーのセキュリティ設定です。これを使用して、org内のユーザー資格情報が侵害された場合のOktaの応答方法を構成します。デフォルトでは、Oktaは資格情報を期限切れにし、Oktaセッションを終了して、次回のサインイン時ユーザーにパスワードのリセットを求めます。
資格情報侵害保護のデフォルト設定はすべてのパスワードポリシーに適用されるため、変更する各ポリシーを更新する必要があります。
ADをソースとするユーザーが侵害されたパスワードの入力後に自分のパスワードをリセットするには、セルフサービスでのパスワードリセットをorgで有効にする必要があります。「Oktaサービスアカウントの権限」を参照してください。ADエージェントにユーザーのパスワード設定を変更する権限があることを確認します。「必要なアカウント」を参照してください。
開始する前の確認事項
この機能の意図する防御メカニズムを保護し、アカウント乗っ取り(ATO)のリスクを低減するために、パスワード変更フローの安全な構成が必要です。
-
Admin Consoleでに移動します。
- [設定]タブで、[パスワード]アイテムのをクリックします。
- 編集するパスワードポリシーを選択します。
- [Users can perform self service(ユーザーがセルフサービスを実行可能)]で[Password change (from account settings)(パスワード変更(アカウント設定から))]を選択します。
- [Access control(アクセスコントロール)]で[Authentication policy(認証ポリシー)]を選択し、[Save(保存)]をクリックします。
-
Admin Consoleでに移動します。
-
[Okta account management]を選択します。
-
パスワード有効期限ルールで、フィッシング耐性のあるAuthenticatorを構成します。Oktaでは次のオプションを推奨しています。
-
[User must authenticate with(ユーザーが使用する認証方法)]:任意の2要素タイプ
-
[Possession factor constraints are(所有要素の制約)]:フィッシング耐性、ハードウェア保護、ユーザーインタラクションの必要性>任意のインタラクション
-
[Authentication methods(認証方法)]:[要件を満たすために使用できる任意の方法を許可]
-
パスワードポリシー設定を構成する
-
Admin Consoleでに移動します。
- [設定]タブで、[パスワード]アイテムのをクリックします。
- 編集するパスワードポリシーを選択します。
- [Password Security(パスワードセキュリティ)]セクションで、レスポンスを選択します。
- [Expire the password after this many days(この日数が経過したら、パスワードを期限切れにする):ユーザーは、最長10日間まで侵害された資格情報を使用してサインインできます。デフォルトは「0」で、パスワードは直ちに期限切れになります。
- [Log out user from Okta immediately(すぐにOktaからユーザーをログアウトする)]:ユーザーはすべてのOktaセッションからすぐにログアウトされます。デフォルトの期限設定「0」で使用する場合、ユーザーは再度サインインする前に新しいパスワードを設定する必要があります。
- [Take custom actions using Workflows(Workflowsを使用してカスタムアクションを実行する)]:レスポンスをカスタマイズするための委任ワークフローを選択します。「サンプル修復フロー」を参照してください。
- [Update Policy(ポリシーを更新)]をクリックします。
[Take custom actions using Workflows(Workflowsを使用してカスタムアクションを実行する)]応答ではなくAPIまたはヘルパーフローを使用する場合は、「Okta Workflowsテンプレート:パスワード侵害イベントの通知を送信」を参照してください。