資格情報侵害保護を構成する
資格情報侵害保護は、パスワードポリシーのセキュリティ設定です。これを使用して、org内のユーザー資格情報が侵害された場合のOktaの応答方法を構成します。デフォルトでは、Oktaは資格情報を期限切れにし、Oktaセッションを終了して、次回のサインイン時ユーザーにパスワードのリセットを求めます。
資格情報侵害保護のデフォルト設定はすべてのパスワードポリシーに適用されるため、変更する各ポリシーを更新する必要があります。
ADをソースとするユーザーが侵害されたパスワードの入力後に自分のパスワードをリセットするには、セルフサービスでのパスワードリセットをorgで有効にする必要があります。Oktaサービスアカウントの権限を参照してください。ADエージェントにユーザーのパスワード設定を変更する権限があることを確認します。必要なアカウントを参照してください。
開始する前の確認事項
この機能の意図する防御メカニズムを保護し、アカウント乗っ取り(ATO)のリスクを低減するために、パスワード変更フローの安全な構成が必要です。
-
Admin Consoleで、に移動します。
- 設定(Setup)タブで、パスワード(Password)アイテムのをクリックします。
- 編集するパスワードポリシーを選択します。
- ユーザーがセルフサービスを実行可能(Users can perform self service)でパスワード変更(アカウント設定から)(Password change (from account settings))を選択します。
- アクセスコントロール(Access control)で 認証ポリシー を選択し、保存(Save)をクリックします。
-
Admin Consoleでに移動します。
-
Oktaアカウント管理(Okta account management)を選択します。
-
パスワード有効期限ルールで、フィッシング耐性のあるAuthenticatorを構成します。Oktaでは次のオプションを推奨しています。
-
ユーザーが使用する認証方法(User must authenticate with):任意の2要素タイプ
-
所有要素の制約(Possession factor constraints are):フィッシング耐性、ハードウェア保護、ユーザーインタラクションの必要性 > 任意のインタラクション
-
認証方法(Authentication methods):[要件を満たすために使用できる任意の方法を許可]
-
パスワードポリシー設定を構成する
-
Admin Consoleで、に移動します。
- 設定(Setup)タブで、パスワード(Password)アイテムのをクリックします。
- 編集するパスワードポリシーを選択します。
- パスワードセキュリティ(Password Security)セクションで、レスポンスを選択します。
- この日数が経過したら、パスワードを期限切れにする([Expire the password after this many days):ユーザーは、最長10日間まで侵害された資格情報を使用してサインインできます。デフォルトは「0」で、パスワードは直ちに期限切れになります。
- すぐにOktaからユーザーをログアウトする(Log out user from Okta immediately):ユーザーはすべてのOktaセッションからすぐにログアウトされます。デフォルトの期限設定「0」で使用する場合、ユーザーは再度サインインする前に新しいパスワードを設定する必要があります。
- Workflowsを使用してカスタムアクションを実行する(Take custom actions using Workflows):レスポンスをカスタマイズするための委任ワークフローを選択します。サンプル修復フローを参照してください。
- ポリシーを更新(Update Policy)をクリックします。
Workflowsを使用してカスタムアクションを実行する(Take custom actions using Workflows)応答ではなくAPIまたはヘルパーフローを使用する場合は、「 Okta Workflowsテンプレート:パスワード侵害イベントの通知を送信」を参照してください。
次の手順