モバイル用のアプリサインインポリシールールを追加する

アプリ・サインイン・ポリシーは、ユーザーがアプリにアクセスするために必要な認証方法を定義します。グループメンバーシップ、サインイン元のIPゾーン、リスクレベルなど、ユーザーが特定のアプリ要件を満たしていることを検証します。ユーザーがアプリ・サインイン・ポリシーの要件を満たした場合、アプリへのアクセスが付与されます。

org内のアプリごとに固有のポリシーを作成することも、少数のポリシーを作成して複数のアプリで共有することもできます。標準のサインイン要件を持つアプリには、Oktaのプリセットポリシーを使用できます。

APIサービスアプリを除くすべての新規アプリは、共有されたデフォルトポリシーで開始します。このポリシーには、2つの要素によるユーザーアクセスを許可する単一のキャッチオールルールがあります。デフォルトポリシーには、必要なルールをいくつでも追加できます。ただし、変更は共有されたデフォルトポリシーに割り当てられた新規アプリと既存アプリの両方に適用されることに注意してください。

ルールには番号が付けられます。Oktaは、アプリサインインポリシーページに表示されるのと同じ順序でルールを評価します。ルールの番号の下に表示される縦の点線の「ハンドル」をクリックしてドラッグすると、追加したルールの順序を並べ替えることができます。

Oktaは、ユーザーがアプリにアクセスするたびにアプリサインインポリシーを評価します。ユーザーにOktaセッションがない場合は、グローバルセッションポリシーも評価します。グローバルセッションポリシーを参照してください。

ポリシーを特定のユーザーに適用するかどうかを評価するとき、Oktaはポリシーの条件とそのルールの条件を組み合わせます。ルールはリストに表示される順序で評価されます。ユーザーが最初のルールの条件を満たさない場合、Oktaでは2番目のルールを評価します。

注:

Classic EngineのDevice TrustからIdentity Engineに移行した場合、登録済みデバイスを必要とするアプリサインインポリシーがあると、System Logにこのエラーが表示されます。

証明書によるデバイスの認証 - エラー：NO_CERTIFICATE（Authentication of device via certificate - failure: NO_CERTIFICATE）

これは予想される動作であり、Okta FastPassに移行すると解決されます。これは、サーバーがクライアント証明書のないデバイスでDevice Trustチャレンジを試行しているために発生します。ユーザーは引き続きサインインできますが、デバイスは信頼できないと見なされます。Okta FastPassを構成するを参照してください。

開始する前に

アプリ・サインイン・ポリシー（App sign-in policies）の確認
アプリ・サインイン・ポリシーを作成するを確認し、必要に応じて新しいポリシーを作成します。
アプリ・サインイン・ポリシー・ルールを追加するの確認

この手順を開始する

管理対象のiOSデバイス向け資格情報SSO拡張機能を構成します。
Admin Consoleでセキュリティ（Security） > 認証ポリシーに移動します。
アプリのサインイン（App sign-in）をクリックします。
ルールを追加するアプリサインインポリシーを選択します。
ルールを追加（Add Rule）（Add rule）ページをクリックします。
ルールを説明するルール名（Rule name）を入力します。
適切なIF条件を構成して、どのような場合にルールを適用するのかを指定します。

条件を設定する際には、一部の条件は主にイベントの監査とフィルタリングに役立つものの、セキュリティ体制を定義するための基礎として扱うべきではないことに注意してください。

たとえば、悪意のあるアクターはデバイスプラットフォームを簡単に偽装できるため、デバイスプラットフォームをアプリサインインポリシールールの主要コンポーネントとして使用しないでください。
適切なTHEN条件を構成して、認証の適用方法を指定します。
必要に応じて、再認証の頻度を構成します。
保存（Save）をクリックします。