アプリサインオンポリシーの移行

Okta Identity Engineの認証ポリシーには、Okta Classic Engineのアプリサインオンポリシーと同様のパラメーターがありますが、いくつかの重要な違いがあります。次の表で、Okta Classic EngineとOkta Identity Engineの認証ポリシールールの構成タスクについて説明します。

タスク	Classic Engine	Identity Engine
ルールに名前を付ける	ルール名	ルール名
このルールを適用するユーザーを指定する	このアプリに割り当てられているすべてのユーザー（デフォルト）グループを選択ユーザーを選択グループを除外ユーザーを除外	このアプリに割り当てられている任意のユーザータイプ（デフォルト）グループを選択ユーザータイプを選択
ユーザーがアプリにアクセスするのに必要な場所を指定する	ユーザーが次の場所にいる場合：すべての場所（任意のIP）ゾーン内（特定）ゾーン外	ユーザーのIP：任意のIP Oktaで定義された任意のネットワークゾーン次のいずれかのゾーン（ゾーンを指定）
クライアントまたはデバイスを構成する	クライアントアクセスポリシー（CAP）に従って、特定のプラットフォームにルールを適用します。信頼できるデバイスと信頼できないデバイスにルールを適用します。	CAPは移行されますが、デバイスを信頼するルールと信頼しないルールは移行されません。登録済みデバイスおよび未登録のデバイスに対して新しいルールを作成する必要があります。
許容可能なリスクスコアを示す	Okta Classic Engineのアプリサインオンポリシーでは使用できません。	このルールは、特定のリスクスコアを持つアプリサインオンイベントにのみ適用します。
カスタム式	Okta Classic Engineのアプリサインオンポリシーでは使用できません。	このルールは、カスタム式がtrueの場合にのみ適用します。
アクセス	すべての条件が満たされた場合のアクセスは次のとおりです。許可拒否済み	すべての条件が満たされた場合のアクセスは次のとおりです。拒否済み認証の成功後に許可
認証要件	パスワードの再認証を求める（期間）要素の入力を求める（頻度）	アプリにアクセスするためのアシュアランス要件を適用します。ユーザーに再認証を求めるタイミングを指定するパスワードの選択では、パスワードの再認証とパスワード以外の再認証の期間を指定します。

Okta Identity Engineポリシーに対する最も重要な追加機能はアシュアランス要件です。認証ポリシーのすべての条件を満たすユーザーは、適切なアシュアランス要件のみでアプリに対する認証を行います。Okta Identity Engineのその他の機能強化には、リスクスコアリングとカスタム式が含まれ、ユーザーがアクセスを許可される前に、カスタマイズされたセキュリティレベルを確実に満たすようにします。

Okta Classic EngineからIdentity Engineへの移行シナリオ

Okta Classic Engineでアプリサインオンポリシーをセットアップすると、デフォルトですべてのクライアントオプションが選択されます。ユーザーが誰であるか、どのグループに属しているか、デバイスのクライアントとプラットフォーム、およびユーザーがネットワークに接続しているかどうかに基づいて、ルールを追加します。

Okta Identity Engineにアップグレードすると、Okta Classic Engineのアプリサインオンポリシーは、いくつかの条件付きで移行されます。

ポリシー名

Okta Identity Engineでは、移行されたポリシーには、適用されたアプリの名前が付けられます（<appname> policy）。Classic Engineで複数のアプリに同一のポリシーがあった場合、それらのポリシーは1つの共有ポリシーに統合されます。この統合されたポリシーでは、「Merged」というプレフィックスが付いた同じ名前構造が使用されます（[Merged] <appname1>、<appname2>、<appname3>ポリシー）。

デフォルトポリシー

デフォルトのアプリサインオンポリシーを使用していたOkta Classic Engineのアプリは、デフォルトのキャッチオールルールが有効になっているOkta Identity Engine 認証ポリシーに移行されます。キャッチオールルールのみを使用するアプリでは、（グローバルセッションポリシーで必要とされる以上の）追加の認証なしで、アプリに割り当てられているすべてのユーザーへのアクセスが許可されます。

［IF］［User's type is（ユーザーのタイプ）］：［Any（任意）］
［AND］［User's group membership is（ユーザーのグループメンバーシップ）］：［Any（任意）］
［AND］［Device identity is（デバイスID）］：［Any（任意）］
［AND］［User's IP is（ユーザーのIP）］：［Any zone（任意のゾーン）］
［AND］［Risk（リスク）］：［Any（任意）］
［AND］［The following custom expression is true（次のカスタム式をtrueとする）］：［N/A］
［THEN］［Access is（アクセスの可否）］：［Allowed（許可）］
［AND］［User must authenticate with（ユーザーが使用する認証方法）］：［Any 1 factor type（任意の1要素タイプ）］
［AND］［Possession factor constraints are（所有要素の制約）］：［N/A］
［Okta Verify user interaction（Okta Verifyユーザーインタラクション）］：［Always required（常に必須）］
［Prompt for authentication（認証のためのプロンプト）］：Oktaグローバルセッションが存在しない場合

Okta Identity Engineのすべてのアプリのポリシーには、キャッチオールルールがあります。キャッチオールルールは編集できますが、アクセスをさらにカスタマイズするために、さらにルールを追加して優先順位を付けることができます。

再認証+要素の検証

再認証と要素の検証が有効になっているOkta Classic Engineのアプリサインオンポリシーは、パスワードと追加要素が有効になっているOkta Identity Engine 認証ポリシーに移行します。再認証の頻度は、Okta Classic Engineポリシーの期間によって決まります。たとえば、2時間ごとにパスワードの再認証を要求し、毎回要素を求めるOkta Classic Engineポリシーは、次のOkta Identity Engineポリシールールに移行されます。

［IF］［User's type is（ユーザーのタイプ）］：［Any（任意）］
［AND］［User's group membership is（ユーザーのグループメンバーシップ）］：［Any（任意）］
［AND］［Device identity is（デバイスID）］：［Any（任意）］
［AND］［User's IP is（ユーザーのIP）］：［Any zone（任意のゾーン）］
［AND］［Risk（リスク）］：［N/A］
［AND］［The following custom expression is true（次のカスタム式をtrueとする）］：［N/A］
［THEN］［Access is（アクセスの可否）］：［Allowed（許可）］
［AND］［User must authenticate with（ユーザーが使用する認証方法）］：［Password + Another factor（パスワード+別の要素）］
［AND］［Possession factor constraints are（所有要素の制約）］：［N/A］
［Okta Verify user interaction（Okta Verifyユーザーインタラクション）］：［Always required（常に必須）］
［Prompt for password authentication（パスワード認証のためのプロンプト）］：2時間
［Prompt for all other factors of authentication（認証のその他すべての要素のためのプロンプト）］：ユーザーがリソースにサインインするたび

再認証なしの多要素

再認証なしで毎回多要素を必要とするOkta Classic Engineのアプリサインオンポリシーは、Okta Classic Engineの設定と同等の再認証間隔で、認証に所有要素を必要とするOkta Identity Engine 認証ポリシーに移行します。