パスワードAuthenticatorの構成

このAuthenticatorを使用すると、ユーザーがOktaまたはアプリにサインインするときにパスワードを使用するように強制できます。複雑性の要件をカスタマイズしたり、グループや個人にパスワードルールを適用したり、ロックアウト条件を設定したりできます。エンドユーザーは、パスワードを忘れた場合には、ヘルプデスクのサポートなしにパスワードをリセットできます。

パスワードAuthenticatorは、Oktaユーザーに対してデフォルトでアクティブになっています。Active Directory(AD)ユーザーはサポートされていないため、ADに認証を委任することはできません。パスワードAuthenticatorを使用するには、パスワードポリシーとルールを構成する必要があります。

このAuthenticatorは知識要素であり、ユーザーの存在の要件を満たします。「多要素認証」を参照してください。

はじめに

  • パスワードポリシーでグループを使用する場合は、グループを作成します。「グループを管理する」を参照してください。
  • パスワードポリシーでネットワークゾーンを使用する場合は、ネットワークゾーンを作成します。「ネットワークゾーンを構成する」を参照してください。

パスワードポリシーを追加する

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。

  2. [Setup(設定)]タブで、[Password(パスワード)]アイテムの[Actions(アクション)][Edit(編集)]をクリックします。
  3. [Add New Password Policy(新しいパスワードポリシーを追加)]をクリックします。

構成オプション

  1. パスワードポリシーの条件を設定します。

    フィールド

    ポリシー名 このポリシーのわかりやすい名前を入力します。
    Policy description(ポリシーの説明) このポリシーの内容と適用対象の説明を入力します。
    Add group(グループを追加)このポリシーが適用されるユーザーのグループを入力します。
    Applies to(次に適用:) 認証プロバイダーを選択します。
    Minimum length(最小の長さ)パスワードの最小文字数を指定します。

    最小の長さは4文字です。最大の長さは30文字です。

    Complexity requirements(複雑さの要件) パスワードをより複雑にするためにさまざまな種類の文字やその他の属性を使用することを要求します。
    Common password check(よく使われるパスワードをチェック)ユーザーが「Password」や「11111111」などのよく使われるパスワードを選択できないようにします。
    Password age(パスワードの有効期間)ユーザーがパスワードを使用できる期間、パスワードを再利用できる頻度、パスワードの変更を求めるタイミングを制御するオプションを構成します。パスワードの有効期限が切れる前に、ユーザーに警告メッセージが届くことはありません。

    最小有効期間は0(ゼロ)日で、最大有効期間は999日です。

    Lock out(ロックアウト)次のオプションを構成します:
    • アカウントがロックされるまでに誤ったパスワードを入力できる回数。
    • アカウントがロックされるまでの時間。
    • アカウントがロックされたときに、ロックアウトエラーのメールをユーザーに送信する。

    不明なデバイスによるロックアウトの検知」を参照してください。

    ADおよびLDAPのロックアウトを防止するには、 試行失敗回数がADおよびLDAPで設定されているサインイン試行失敗回数の上限値より低いことを確認します。

  2. [Create Policy(ポリシーを作成)]をクリックします。
  3. ポリシーリストでポリシーを選択します。
  4. [Add Rule(ルールを追加)]をクリックします。
  5. 次のオプションを構成します。

    フィールド

    Rule Name(ルール名) ルールの名前を入力します。
    xclude users(ユーザーを除外) 除外するユーザーの名前を入力します。
    IF User's IP is(ユーザーのIPが次の場合)
    • [Anywhere(任意の場所)]:IPアドレスがパブリックゲートウェイIPリストに載っているかどうかに関わらずすべてのユーザーにルールを適用します。
    • [In zone(ゾーン内)]:すべての、または特定のネットワークゾーンのユーザーにルールを適用します。
    • [Not in zone(ゾーン外)]:すべての、または特定のゾーンのユーザーを除外してルールを適用します。

    パブリックゲートウェイIPリストとその他のIPゾーン機能の詳細については、「ネットワークゾーン」を参照してください。

    THEN User can perform self-service(THENユーザーは次をセルフサービスで実行可能)
    • [Password change (from account settings)(パスワード変更(アカウント設定から))]:ユーザーが[セルフサービスによるパスワードのリセットを行う]オプションを使用してパスワードを変更することを許可します。
    • [Forgot resets(パスワードリセット)]:ユーザーがSign-In Widgetの[Forgot password?(パスワードを忘れた場合)]リンクを使用してセルフサービスによるパスワードリセットを実行することを許可します。
    • [Unlock account(アカウントロック解除)]: ユーザーがSign-In Widgetの[Unlock account?(アカウントのロックを解除しますか?)]をクリックして、アカウントのロックを解除できるようにします。このオプションを選択すると、LDAPをソースとするOktaユーザーアカウントはOktaではロック解除されますが、オンプレミスLDAPインスタンスではロックされたままになります。セルフサービスのロック解除を許可しない場合は、「ユーザーのパスワードをリセットする」で他のオプションを参照してください。
    AND Users can initiate recovery with(ANDユーザーは次を使用してリカバリーを開始可能)
    • [Okta Verify(プッシュ通知のみ)]:ユーザーがOkta Verifyのプッシュ通知を使用して復旧を開始できるようにします。「Okta Verify Authenticatorの構成」を参照してください。
    • [電話]:ユーザーがテキストメッセージまたは通話で復旧を開始できるようにします。「電話Authenticator」を参照してください。
    • [Email(メール)]:ユーザーがワンタイムパスワードまたはマジックリンクが記載されたメールメッセージを使用して復元を開始できるようにします。「メールAuthenticatorを構成する」を参照してください
    • Google Authenticator:ユーザーがGoogle Authenticatorからのワンタイムパスコードを使用してリカバリを開始できるようにします。「Google Authenticator」を参照してください。
    AND Additional verification is(AND追加の検証に関する設定)
    • [Not required(不要)]:復旧中にユーザーからの追加の検証を必要としません。
    • [MFA/SSO: Allow users to use any enrolled authenticator(MFA/SSOに使用される任意の登録済みAuthenticator)]:ユーザーが復旧のために任意の登録済みAuthenticatorを使用できるようにします。
    • [Only Security Question(セキュリティ質問のみ)]:ユーザーが秘密の質問のみを復旧に使用できるようにします。「セキュリティ質問によるAuthenticatorの構成」を参照してください。

    管理者は、ユーザーがパスワードを入力する前に認証チャレンジを完了する必要があるかどうかを判断できます。認証ポリシー ルールで、AND [User must authenticate with(ユーザーが認証に使用する要素)]オプションを構成します。「認証ポリシールールを追加する」を参照してください。

  6. [Create rule(ルールを作成)]をクリックします。

パスワードAuthenticatorをAuthenticator登録ポリシーに追加する

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。

  2. [Enrollment(登録)]タブをクリックします。
  3. Authenticatorを新規または既存のAuthenticator登録ポリシーに追加します。「Authenticator登録ポリシーを作成する」を参照してください。

パスワードポリシーとルールを編集または削除する

パスワードAuthenticatorを編集または削除することはできませんが、それに関連付けられているポリシーを編集または削除することはできます。このAuthenticatorのポリシーを編集または削除する前に、このAuthenticatorを使用する既存のAuthenticator登録、認証、グローバルセッションポリシーの更新が必要になる場合があります。

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。

  2. [Setup(設定)]タブで、[Password(パスワード)]アイテムの[Actions(アクション)][Edit(編集)]をクリックします。
  3. リストからポリシーを選択して、その[Edit(編集)]および[Delete(削除)]オプションを表示します。
  4. ポリシーのルールを選択して、そのオプションを表示します。編集するには、鉛筆アイコンをクリックします。削除するには、Xをクリックします。

エンドユーザーエクスペリエンス

パスワードなしの認証向けに認証ポリシールールが有効になっていない限り、エンドユーザーは常にパスワードの入力を求められます。ADでは、ロックアウトされたユーザーがセルフサービスによるアカウントロック解除を使用できますが、ロックされたLDAPソースアカウントのロックを解除できるのは管理者のみです。

関連項目

セルフサービスのアカウント復旧

メールAuthenticatorを構成する

電話認証

FIDO2(WebAuthn)Authenticatorを構成する

セキュリティ質問によるAuthenticatorの構成

認証ポリシールールを追加する