パスワードAuthenticatorを構成する
このAuthenticatorを使用すると、ユーザーがOktaまたはアプリにサインインするときにパスワードを使用するように強制できます。複雑性の要件をカスタマイズしたり、グループや個人にパスワードルールを適用したり、ロックアウト条件を設定したりできます。エンドユーザーは、パスワードを忘れた場合には、ヘルプデスクのサポートなしにパスワードをリセットできます。
パスワードAuthenticatorは、Oktaユーザーに対してデフォルトでアクティブになっています。パスワードAuthenticatorを使用するには、パスワードポリシーとルールを構成する必要があります。
このAuthenticatorは知識要素であり、ユーザーの存在の要件を満たします。「多要素認証」を参照してください。
強力なパスワードの推奨
パスワードポリシーを定義して、パスワードのロックアウト、履歴、最小有効期間、最小の長さ(8文字)を指定するとともに、よく使われるパスワードを禁止します。以下に構成例を示します。
- パスワードロックアウト:10回以上
- 最小パスワード履歴:24
- 最短有効期間:1時間
- 最小の長さ:12文字
- よく使われるパスワードの使用を制限する
これらの推奨事項は、一般的なパスワード基準の例としてOktaが示すものです。この例は、最近のサイバーセキュリティのベストプラクティスに基づいています。なお、この例は、ISO 27001、アメリカ国立標準技術研究所(NIST)、PCI-DSSといった、国際的に認められたサイバーセキュリティ標準に取って代わるものではありません。Organizationが選択したサイバーセキュリティ標準に準拠するように、IT部門にて設定を調整する必要があります。
開始する前に
- パスワードポリシーでグループを使用する場合は、グループを作成します。「グループを管理する」を参照してください。
- パスワードポリシーでネットワークゾーンを使用する場合は、ネットワークゾーンを作成します。「ネットワークゾーンを構成する」を参照してください。
パスワードポリシーを追加する
-
Admin Consoleで に移動します。
- [設定]タブで、[パスワード]アイテムの をクリックします。
- [Add New Password Policy(新しいパスワードポリシーを追加)]をクリックします。
構成オプション
-
パスワードポリシーの条件を設定します。
フィールド
値
Policy name(ポリシー名) このポリシーのわかりやすい名前を入力します。 Policy description(ポリシーの説明) このポリシーの内容と適用対象の説明を入力します。 Add group(グループを追加) このポリシーが適用されるユーザーのグループを入力します。 Applies to(次に適用:) 認証プロバイダーを選択します。 Minimum length(最小の長さ) パスワードの最小文字数を指定します。 最小の長さは4文字です。最大の長さは30文字です。
Complexity requirements(複雑さの要件) パスワードをより複雑にするためにさまざまな種類の文字やその他の属性を使用することを要求します。Active Directory(AD)をソースとするユーザーがいるときは、ADのパスワード要件を使用します。次のオプションから選択して、パスワードの複雑性の要件を作成します。 - Lower case letter(小文字):パスワードには、少なくとも小文字を1つ指定する必要があります。
- Upper case letter(大文字):パスワードには、少なくとも大文字を1つ指定する必要があります。
- Number (0-9)(数字(0~9)):パスワードには、少なくとも0~9のうちの1つの数字を指定する必要があります。
- Symbol (e.g., !@#$%^&*)(記号(例:!@#$%^&*)):パスワードには、少なくとも記号を1つ指定する必要があります。
- Does not contain part of username(ユーザー名の一部を含まない):ユーザー名の一部をパスワードとして指定できないようにしてください。
- Does not contain first name(名を含まない):パスワードにユーザーの名を指定できないようにしてください。
- Does not contain last name(姓を含まない):パスワードにユーザーの姓を指定できないようにしてください。
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
- Use an OEL statement to block restricted content(OELステートメントを使用して制限されたコンテンツをブロックする):Okta Expression Languageを使用して、パスワードでのカスタム単語の使用をブロックします。
- このフィールドは、このオプションを選択した場合に表示されます。
- フィールドに式を入力します。各単語は、password.value.contains("BlockedWord1")のように、独自のステートメントで表現できます。複数の単語の場合は、各式の間にOR演算子を使用します(例:password.value.contains("BlockedWord1") OR password.value.contains("BlockedWord2"))。「Okta Identity EngineのOkta Expression Language」を参照してください。
- ユーザーが新しいパスワードにカスタム単語の使用を試みると、エラーメッセージが表示されます。
Common password check(よく使われるパスワードをチェック) ユーザーが「Password」や「11111111」などのよく使われるパスワードを選択できないようにします。Oktaでは、ユーザーが選択したパスワードは一般的に使用される100万個のパスワードのリストと照合してチェックされます。大文字と小文字を区別した照合と組み合わせると、このリストは25億個以上の一般的なパスワードをカバーします。 Password age(パスワードの有効期間) ユーザーがパスワードを使用できる期間、パスワードを再利用できる頻度、パスワードの変更を求めるタイミングを制御するオプションを構成します。 - Enforce password history for last N passwords(過去N個のパスワード履歴を記録):ユーザーが以前のパスワードを再利用する前に、異なるパスワードを何個作成する必要があるかを指定します。これにより、ユーザーは指定された期間、以前のパスワードを再利用できなくなります。この設定は、1~30個のパスワードに構成できます。
- Minimum password age is N units(パスワードの変更禁止期間) :パスワードの変更に必要な最小の時間間隔を入力します。この設定により、ユーザーは[Enforce password history for last N passwords(過去N個のパスワード履歴を記録)]の要件を迂回できなくなります。この設定は、最大で9,999分に構成できます。
- Password expires after N days(パスワードの有効期限が切れるまでの日数):パスワードの変更が必要になるまでの有効期間の日数を入力します。ユーザーのパスワードの有効期限が切れた場合、Oktaにサインインするにはパスワードを変更する必要があります。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。
For AD and LDAP sourced users(ADおよびLDAPをソースとするユーザーの場合):[Password expires after N days(パスワードの有効期限が切れるまでの日数)]設定は表示されません。有効期限は異なる場合があり、ADおよびLightweight Directory Access Protocol(LDAP)からインポートされます。
- Prompt user N days before password expires(パスワードの有効期限が切れるN日前にユーザーに確認):パスワードの有効期限の何日前にパスワードの変更をユーザーに求めるかを入力します。ユーザーはプロンプトが表示されたときにパスワードを変更するか、有効期限まで待つことができます。この設定は、最大で999日に構成できます。値が6日未満の場合、ユーザーには有効期限切れの警告が表示されません。
Lock out(ロックアウト) ロックアウトを処理するための条件を構成します。 - Lock out user after N unsuccessful attempts(N回失敗するとユーザーをロックアウト):ユーザーが誤ったパスワードを入力できる回数です。この回数を超えるとアカウントがロックされます。
- Account is automatically unlocked after N minutes(N分後にアカウントを自動的にロック解除):アカウントがロックされている期間です。
- Show lock out failures(ロックアウトのエラーを表示):Admin Consoleでロックアウトのエラーを表示します。
- Send lockout email to user(ユーザーにロックアウトメールを送信):アカウントがロックされたときに、ロックアウトエラーのメールをユーザーに送信します。
「不明なデバイスからの不審なパスワード試行をブロックする」を参照してください。
ADおよびLDAPのロックアウトを防止するには、 試行失敗回数がADおよびLDAPで設定されているサインイン試行失敗回数の上限値より低いことを確認します。
- [Create Policy(ポリシーを作成)]をクリックします。
- ポリシーリストでポリシーを選択します。
- [Add Rule(ルールを追加)]をクリックします。
-
次のオプションを構成します。
フィールド
値
Rule Name(ルール名) ルールの名前を入力します。 xclude users(ユーザーを除外) 除外するユーザーの名前を入力します。 IF User's IP is(ユーザーのIPが次の場合) - [Anywhere(任意の場所)]:IPアドレスがパブリックゲートウェイIPリストに載っているかどうかに関わらずすべてのユーザーにルールを適用します。
- [In zone(ゾーン内)]:すべての、または特定のネットワークゾーンのユーザーにルールを適用します。
- [Not in zone(ゾーン外)]:すべての、または特定のゾーンのユーザーを除外してルールを適用します。
パブリックゲートウェイIPリストとその他のIPゾーン機能の詳細については、「ネットワークゾーン」を参照してください。 ゾーンを指定する場合には、IPが動的であり、IPジオロケーションが保証されないことに注意してください。
THEN User can perform self-service(ユーザーがセルフサービスを実行可能) - [Password change (from account settings)(パスワード変更(アカウント設定から))]:ユーザーが[perform self-service password reset(セルフサービスによるパスワードのリセットを行う)]オプションを使用してパスワードを変更することを許可します。
- [Forgot resets(パスワードリセット)]:ユーザーがSign-In Widgetの[forgot password?(パスワードを忘れた場合)]リンクを使用してセルフサービスによるパスワードリセットを実行することを許可します。
- [Unlock account(アカウントロック解除)]: ユーザーがOkta Sign-In Widget の[Unlock account?(アカウントのロックを解除しますか?)]をクリックして、アカウントのロックを解除できるようにします。このオプションを選択すると、LDAPをソースとするOktaユーザーアカウントはOktaではロック解除されますが、オンプレミスLDAPインスタンスではロックされたままになります。セルフサービスのロック解除を許可しない場合は、「ユーザーのパスワードをリセットする」で他のオプションを参照してください。
AND Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能) - [Okta Verify(プッシュ通知のみ)]:ユーザーがOkta Verifyのプッシュ通知を使用して復旧を開始できるようにします。「Okta Verify Authenticatorを構成する」を参照してください。 プッシュによるOkta Verifyが唯一のauthenticatorである場合、復旧のためにユーザーによる列挙の防止を有効にしているかどうかに関係なく、ユーザーは番号一致チャレンジを受信します。
- [Phone (SMS / Voice call)(電話(SMS/音声通話))]:ユーザーがテキストメッセージまたは音声通話で復旧を開始できるようにします。「電話Authenticatorを構成する」を参照してください。
- Email(メール):ユーザーがワンタイムパスコードまたはマジックリンクが記載されたメールメッセージを使用して復元を開始できるようにします。「メールAuthenticatorを構成する」を参照してください
- Google Authenticator:ユーザーがGoogle Authenticatorからのワンタイムパスコードを使用してリカバリを開始できるようにします。「Google Authenticator」を参照してください。
AND Additional verification is(追加の検証に関する設定) - [Not required(不要)]:復旧中にユーザーからの追加の検証を必要としません。
- [Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用される任意の登録済みAuthenticator)]:ユーザーが復旧のために任意の登録済みAuthenticatorを使用できるようにします。
- [Only Security Question(セキュリティ質問のみ)]:ユーザーがセキュリティ質問のみを復旧に使用できるようにします。「セキュリティ質問のAuthenticatorを構成する」を参照してください。
管理者は、ユーザーがパスワードを入力する前に認証チャレンジを完了する必要があるかどうかを判断できます。認証ポリシー ルールで、[AND User must authenticate with(ユーザーが認証に使用する要素)]オプションを構成します。「認証ポリシールールを追加する」を参照してください。
-
[Create Rule(ルールを作成)]をクリックします。
パスワードAuthenticatorをAuthenticator登録ポリシーに追加する
-
Admin Consoleで に移動します。
- [Enrollment(登録)]タブをクリックします。
- Authenticatorを新規または既存のAuthenticator登録ポリシーに追加します。「Authenticator登録ポリシーを作成する」を参照してください。
パスワードポリシーとルールを編集または削除する
パスワードAuthenticatorを編集または削除することはできませんが、それに関連付けられているポリシーを編集または削除することはできます。
パスワードポリシーまたはルールを編集または削除する場合は、このAuthenticatorが使用される登録、認証、グローバルセッションのポリシーを更新する必要があるかもしれません。
-
Admin Consoleで に移動します。
- [Setup(設定)]タブで、[Password(パスワード)]アイテムの をクリックします。
- リストからポリシーを選択して、その[Edit(編集)]および[Delete(削除)]オプションを表示します。
- ポリシーのルールを選択して、そのオプションを表示します。編集するには、鉛筆アイコンをクリックします。削除するには、[X]をクリックします。
エンドユーザーエクスペリエンス
パスワードレス認証向けに認証ポリシールールが有効になっていない限り、ユーザーは常にパスワードの入力を求められます。
ユーザーのアカウントがロックされた場合、Sign-In Widgetで[Unlock account(アカウントロック解除)]をクリックすればアクセスを回復できます。Oktaは、ユーザーが認証してアクセスを回復できる別の方法を表示します。
パスワードをリセットするには、ユーザーはOkta End-User Dashboardの右上隅にある自分の名前の横の矢印をクリックします。その後、ユーザーは[Settings(設定)]を選択します。ユーザーは[Security Methods(セキュリティ方式)]セクションの[Password(パスワード)]の横にある[Reset(リセット)]をクリックします。
ADでは、ロックアウトされたユーザーがセルフサービスによるアカウントロック解除を使用できますが、ロックされたLDAPソースアカウントのロックを解除できるのは管理者のみです。