デスクトップ用のアプリサインインポリシールールを追加する

アプリ・サインイン・ポリシーは、ユーザーがアプリにアクセスするために必要な認証方法を定義します。グループメンバーシップ、サインイン元のIPゾーン、リスクレベルなど、ユーザーが特定のアプリ要件を満たしていることを検証します。ユーザーがアプリ・サインイン・ポリシーの要件を満たした場合、アプリへのアクセスが付与されます。

org内のアプリごとに固有のポリシーを作成することも、少数のポリシーを作成して複数のアプリで共有することもできます。標準のサインイン要件を持つアプリには、Oktaのプリセットポリシーを使用できます。

APIサービスアプリを除くすべての新規アプリは、共有されたデフォルトポリシーで開始します。このポリシーには、2つの要素によるユーザーアクセスを許可する単一のキャッチオールルールがあります。デフォルトポリシーには、必要なルールをいくつでも追加できます。ただし、変更は共有されたデフォルトポリシーに割り当てられた新規アプリと既存アプリの両方に適用されることに注意してください。

ルールには番号が付けられます。Oktaは、アプリサインインポリシーページに表示されるのと同じ順序でルールを評価します。ルールの番号の下に表示される縦の点線の「ハンドル」をクリックしてドラッグすると、追加したルールの順序を並べ替えることができます。

Oktaは、ユーザーがアプリにアクセスするたびにアプリサインインポリシーを評価します。ユーザーにOktaセッションがない場合は、グローバルセッションポリシーも評価します。「グローバルセッションポリシー」を参照してください。

ポリシーを特定のユーザーに適用するかどうかを評価するとき、Oktaはポリシーの条件とそのルールの条件を組み合わせます。ルールはリストに表示される順序で評価されます。ユーザーが最初のルールの条件を満たさない場合、Oktaでは2番目のルールを評価します。

Classic EngineのDevice TrustからIdentity Engineに移行した場合、登録済みデバイスを必要とするアプリサインインポリシーがあると、System Logにこのエラーが表示されます。

Authentication of device via certificate - failure: NO_CERTIFICATE(証明書によるデバイスの認証 - エラー:NO_CERTIFICATE)

これは予想される動作であり、Okta FastPassに移行すると解決されます。これは、サーバーがクライアント証明書のないデバイスでDevice Trustチャレンジを試行しているために発生します。ユーザーは引き続きサインインできますが、デバイスは信頼できないと見なされます。「Okta FastPassを構成する」を参照してください。

開始する前に

この手順を開始する

  1. Admin Console[Security(セキュリティ)][Authentication Policies(認証ポリシー)]に移動します。

  2. [App sign-in(アプリのサインイン)]をクリックします。
  3. ルールを追加するアプリサインインポリシーを選択します。
  4. [Add Rule(ルールを追加)]ページをクリックします。
  5. ルールを説明する[Rule name(ルール名)]を入力します。

  6. 適切な[IF]条件を構成して、どのような場合にルールを適用するのかを指定します。

    一部の条件はイベントの監査とフィルタリングに役立つものの、セキュリティポスチャを定義するための基礎として扱うべきではありません。たとえば、悪意のあるアクターは、デバイスプラットフォームを簡単に偽装することができます。デバイスプラットフォームは、アプリサインインポリシールールの主要コンポーネントとして使用しないでください。

  7. 適切な[THEN]条件を構成して、認証の適用方法を指定します。
  8. 必要に応じて、再認証の頻度を構成します。
  9. [Save(保存)]をクリックします。

次の手順