パスワードAuthenticatorの構成

このAuthenticatorを使用すると、ユーザーがOktaまたはアプリにサインインするときにパスワードを使用するように強制できます。複雑性の要件をカスタマイズしたり、グループや個人にパスワードルールを適用したり、ロックアウト条件を設定したりできます。エンドユーザーは、パスワードを忘れた場合には、ヘルプデスクのサポートなしにパスワードをリセットできます。

パスワードAuthenticatorは、Oktaユーザーに対してデフォルトでアクティブになっています。パスワードAuthenticatorを使用するには、パスワードポリシーとルールを構成する必要があります。

このAuthenticatorは知識要素であり、ユーザーの存在の要件を満たします。多要素認証を参照してください。

強力なパスワードの推奨

パスワードポリシーを定義して、パスワードのロックアウト、履歴、最小有効期間、最小の長さ（8文字）を指定するとともに、よく使われるパスワードを禁止します。以下に構成例を示します。

パスワードロックアウト：10回以上
最小パスワード履歴：24
最短有効期間：1時間
最小の長さ：12文字
よく使われるパスワードの使用を制限する

注:

これらの推奨事項は、一般的なパスワード基準の例としてOktaが示すものです。この例は、最近のサイバーセキュリティのベストプラクティスに基づいています。なお、この例は、ISO 27001、アメリカ国立標準技術研究所（NIST）、PCI-DSSといった、国際的に認められたサイバーセキュリティ標準に取って代わるものではありません。Organizationが選択したサイバーセキュリティ標準に準拠するように、IT部門にて設定を調整する必要があります。

開始する前に

パスワードポリシーでグループを使用する場合は、グループを作成します。グループを管理する（Manage groups）を参照してください。
パスワードポリシーでネットワークゾーンを使用する場合は、ネットワークゾーンを作成します。ネットワークゾーンを管理するを参照してください。

パスワードポリシーを追加する

Admin Consoleで、セキュリティ（Security） > Authenticatorに移動します。
設定（Setup）タブで、パスワード（Password）アイテムのアクション（Actions） > 編集（Edit）をクリックします。
新しいパスワードポリシーを追加（Add New Password Policy）をクリックします。

構成オプション

パスワードポリシーの条件を設定します。

フィールド	値
ポリシー名（Policy name）	このポリシーのわかりやすい名前を入力します。
ポリシーの説明（Policy description）	このポリシーの内容と適用対象の説明を入力します。
グループを追加（Add group）	このポリシーが適用されるユーザーのグループを入力します。
次に適用：（Applies to）	認証プロバイダーを選択します。
最小の長さ（Minimum length）	パスワードの最小文字数を指定します。最小の長さは4文字です。最大の長さは30文字です。
複雑さの要件（Complexity requirements）	パスワードをより複雑にするためにさまざまな種類の文字やその他の属性を使用することを要求します。これらの複雑性の要件は、Okta、Active Directory（AD）、およびLightweight Directory Access Protocol（LDAP）をソースとするユーザーに適用されます。ADをソースとするユーザーがいる場合は、ADのパスワード要件を使用します。次のオプションから選択して、パスワードの複雑性の要件を作成します。小文字（Lower case letter）：パスワードには、少なくとも小文字を1つ指定する必要があります。大文字（Upper case letter）：パスワードには、少なくとも大文字を1つ指定する必要があります。 Number (0-9)（数字（0～9））：パスワードには、少なくとも0～9のうちの1つの数字を指定する必要があります。記号（例：!@#$%^&）（Symbol (e.g., !@#$%^&)）：パスワードには、少なくとも記号を1つ指定する必要があります。ユーザー名の一部を含まない（Does not contain part of username）：ユーザー名の一部をパスワードとして指定できないようにしてください。名を含まない（Does not contain first name）：パスワードにユーザーの名を指定できないようにしてください。姓を含まない（Does not contain last name）：パスワードにユーザーの姓を指定できないようにしてください。最大N回の連続繰り返し文字（Maximum N consecutive repeating characters）：この回数だけ文字の繰り返しを許可します。許可する連続繰り返し文字の数を入力します。 OELステートメントを使用して制限されたコンテンツをブロックする（Use an OEL statement to block restricted content）：Okta Expression Languageを使用して、パスワードでのカスタム単語の使用をブロックします。このフィールドは、このオプションを選択した場合に表示されます。フィールドに式を入力します。各単語は、`password.value.contains("BlockedWord1")`のように、独自のステートメントで表現できます。複数の単語の場合は、各式の間に`OR`演算子を使用します（例：`password.value.contains("BlockedWord1") OR password.value.contains("BlockedWord2")`）。「Okta Identity EngineのOkta Expression Language」を参照してください。ユーザーが新しいパスワードにカスタム単語の使用を試みると、エラーメッセージが表示されます。
よく使われるパスワードをチェック（Common password check）	ユーザーが「Password」や「11111111」などのよく使われるパスワードを選択できないようにします。Oktaでは、ユーザーが選択したパスワードは一般的に使用される100万個のパスワードのリストと照合してチェックされます。大文字と小文字を区別した照合と組み合わせると、このリストは25億個以上の一般的なパスワードをカバーします。
パスワードの有効期間（Password age）	ユーザーがパスワードを使用できる期間、パスワードを再利用できる頻度、パスワードの変更を求めるタイミングを制御するオプションを構成します。過去N個のパスワード履歴を記録（Enforce password history for last N passwords）：ユーザーが以前のパスワードを再利用する前に、異なるパスワードを何個作成する必要があるかを指定します。これにより、ユーザーは指定された期間、以前のパスワードを再利用できなくなります。この設定は、1～30個のパスワードに構成できます。パスワードの変更禁止期間（Minimum password age is N units）：パスワードの変更に必要な最小の時間間隔を入力します。この設定により、ユーザーは過去N個のパスワード履歴を記録（Enforce password history for last N passwords）の要件を迂回できなくなります。この設定は、最大で9,999分に構成できます。パスワードの有効期限が切れるまでの日数（Password expires after N days）：パスワードの変更が必要になるまでの有効期間の日数を入力します。ユーザーのパスワードの有効期限が切れた場合、Oktaにサインインするにはパスワードを変更する必要があります。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。 ADおよびLDAPをソースとするユーザーの場合（For AD and LDAP sourced users）：パスワードの有効期限が切れるまでの日数（Password expires after N days）設定は表示されません。有効期限は異なる場合があり、ADとLDAPからインポートされます。パスワードの有効期限が切れるN日前にユーザーに確認（Prompt user N days before password expires）：パスワードの有効期限の何日前にパスワードの変更をユーザーに求めるかを入力します。ユーザーはプロンプトが表示されたときにパスワードを変更するか、有効期限まで待つことができます。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。
ロックアウト（Lock out）	ロックアウトを処理するための条件を構成します。 N回失敗するとユーザーをロックアウト（Lock out user after N unsuccessful attempts）：ユーザーが誤ったパスワードを入力できる回数です。この回数を超えるとアカウントがロックされます。 N分後にアカウントを自動的にロック解除（Account is automatically unlocked after N minutes）：アカウントがロックされている期間です。ロックアウトのエラーを表示（Show lock out failures）：Admin Consoleでロックアウトのエラーを表示します。ユーザーにロックアウトメールを送信（Send lockout email to user）：アカウントがロックされたときに、ロックアウトエラーのメールをユーザーに送信します。不明なデバイスからの不審なパスワード試行をブロックする（Block suspicious password attempts from unknown devices）を参照してください。注: ADおよびLDAPのロックアウトを防止するには、Oktaでの試行失敗回数がディレクトリサービスで設定されているサインイン失敗回数の上限値より大幅に低いことを確認します。ベストプラクティスとして、Oktaのロックアウト上限値をAD/ LDAPの値の半分以下に設定することをお勧めします。たとえば、ADで10回まで試行の失敗が許可されている場合は、Oktaの上限値を5回以下に構成します。

注:

パスワード設定の変更は、ユーザーが次回パスワードをリセットするか、パスワードの有効期限が切れたときに有効になります。新しいユーザーアカウントには、アカウント作成時点での現在のパスワード設定が適用されます。

ポリシーを作成（Create Policy）をクリックします。
ポリシーリストでポリシーを選択します。
ルールを追加（Add Rule）をクリックします。

次のオプションを構成します。

フィールド	値
ルール名（Rule Name）（Rule name）	ルールの名前を入力します。
ユーザーを除外（xclude users）（Exclude users）	除外するユーザーの名前を入力します。
ユーザーのIPが次の場合（IF User's IP is）	任意の場所（［Anywhere）］：IPアドレスがパブリックゲートウェイIPリストに載っているかどうかに関わらずすべてのユーザーにルールを適用します。ゾーン内（［In zone）］：すべての、または特定のネットワークゾーンのユーザーにルールを適用します。ゾーン外（［Not in zone）］：すべての、または特定のゾーンのユーザーを除外してルールを適用します。パブリックゲートウェイIPリストとその他のIPゾーン機能の詳細については、ネットワークゾーンを参照してください。ゾーンを指定する場合には、IPが動的であり、IPジオロケーションが保証されないことに注意してください。
ユーザーがセルフサービスを実行可能（THEN User can perform self-service）	［Password change (from account settings)（パスワード変更（アカウント設定から））］：ユーザーがセルフサービスによるパスワードのリセットを行う（perform self-service password reset）（Password change (from account settings)）オプションを使用してパスワードを変更することを許可します。パスワードリセット（［Forgot resets）］：ユーザーがSign-In Widgetのパスワードを忘れた場合（forgot password?）（Password reset）リンクを使用してセルフサービスによるパスワードリセットを実行することを許可します。アカウントロック解除（Unlock account）：ユーザーがOkta Sign-In Widget のアカウントのロックを解除しますか？（Unlock account?）をクリックして、アカウントのロックを解除できるようにします。このオプションを選択すると、LDAPをソースとするOktaユーザーアカウントはOktaではロック解除されますが、オンプレミスLDAPインスタンスではロックされたままになります。セルフサービスのロック解除を許可しない場合は、ユーザーのパスワードをリセットするで他のオプションを参照してください。
ユーザーは次を使用してリカバリーを開始可能（AND Users can initiate recovery with）	プッシュ通知のみ（［Okta Verify）］：ユーザーがOkta Verifyのプッシュ通知を使用して復旧を開始できるようにします。Okta Verify Authenticatorを構成するを参照してください。プッシュによるOkta Verifyが唯一のauthenticatorである場合、復旧のためにユーザーによる列挙の防止を有効にしているかどうかに関係なく、ユーザーは番号一致チャレンジを受信します。 Phone (SMS / Voice call)（電話（SMS/音声通話））：ユーザーがテキストメッセージまたは音声通話で復旧を開始できるようにします。電話Authenticatorを構成するを参照してください。メール（Email）：ユーザーがワンタイムパスコードまたはマジックリンクが記載されたメールメッセージを使用して復元を開始できるようにします。メールAuthenticatorを構成するを参照してください Google Authenticator ：ユーザーがGoogle Authenticatorからのワンタイムパスコードを使用してリカバリを開始できるようにします。「Google Authenticator」を参照してください。
追加の検証に関する設定（AND Additional verification is）	不要（［Not required）］：復旧中にユーザーからの追加の検証を必要としません。 MFA/SSOに使用される任意の登録済みAuthenticator（Any enrolled authenticator used for MFA/SSO）：ユーザーが復旧のために任意の登録済みAuthenticatorを使用できるようにします。セキュリティ質問のみ（［Only Security Question）］：ユーザーがセキュリティ質問のみを復旧に使用できるようにします。セキュリティ質問のAuthenticatorを構成するを参照してください。注: 管理者は、ユーザーがパスワードを入力する前に認証チャレンジを完了する必要があるかどうかを判断できます。アプリ・サインイン・ポリシールールで、ANDユーザーが認証に使用する要素（AND User must authenticate with）オプションを構成します。アプリ・サインイン・ポリシー・ルールを追加するを参照してください。

ルールを作成（Create Rule）（Create rule）をクリックします。

パスワードAuthenticatorをAuthenticator登録ポリシーに追加する

Admin Consoleで、セキュリティ（Security） > Authenticatorに移動します。
登録（Enrollment）タブをクリックします。
Authenticatorを新規または既存のAuthenticator登録ポリシーに追加します。

パスワードポリシーとルールを編集または削除する

パスワードAuthenticatorを編集または削除することはできませんが、それに関連付けられているポリシーを編集または削除することはできます。

パスワードポリシーまたはルールを編集または削除する場合は、このAuthenticatorが使用される登録、認証、グローバルセッションのポリシーを更新する必要があるかもしれません。

Admin Consoleで、セキュリティ（Security） > Authenticatorに移動します。
設定（Setup）タブで、パスワード（Password）アイテムのアクション（Actions） > 編集（Edit）をクリックします。
リストからポリシーを選択して、その編集（Edit）および削除（Delete）オプションを表示します。
ポリシーのルールを選択して、そのオプションを表示します。編集するには、鉛筆アイコンをクリックします。削除するには、Xをクリックします。

エンドユーザーエクスペリエンス

パスワードレス認証にアプリ・サインイン・ポリシールールが有効になっていない限り、ユーザーは常にパスワードの入力を求められます。

ユーザーのアカウントがロックされた場合、Sign-In Widgetでアカウントロック解除（Unlock account）をクリックすればアクセスを回復できます。Oktaは、ユーザーが認証してアクセスを回復できる別の方法を表示します。

パスワードをリセットするには、ユーザーはOkta End-User Dashboardの右上隅にある自分の名前の横の矢印をクリックします。その後、ユーザーは設定（Settings）を選択します。ユーザーはセキュリティ方式（Security Methods）セクションのパスワード（Password）（Reset）の横にあるリセット（Reset）（Password）をクリックします。

ADでは、ロックアウトされたユーザーがセルフサービスによるアカウントロック解除を使用できますが、ロックされたLDAPソースアカウントのロックを解除できるのは管理者のみです。