Okta FastPassを使ったパスワードレス認証に認証ポリシーを構成する

Okta FastPassを使用したパスワードレス認証を有効化するために、認証ポリシーをセットアップする方法について説明します。

開始する前に

強力な認証ポリシーを使用して、すべてのアプリを保護します。その上で、グローバルセッションポリシーからデフォルトのグローバルパスワード要件を削除します。この変更により、認証のロジックとコントロールがグローバルセッションポリシーから認証ポリシーに変換されます。
ポリシーを構成する前に、すべてのユーザーがOkta Verifyに登録されていることを確認します。ユーザーがOkta Verifyアカウントを追加すると、ユーザーのデバイスはOkta Universal Directoryに登録されます。
Classic Engineからアップグレードするときは、「アプリのサインオンポリシー」を参照してください。

認証ポリシールールを作成します。「認証ポリシールールを追加する」を参照してください。
- ルール1は、安全なハードウェアを備えた管理対象の登録済みデバイス上のアプリへのアクセス権をユーザーに付与します。ユーザーは、2つの要素タイプによる認証を求められます。
- ルール2は、管理対象ではない登録済みデバイス上のアプリへのアクセス権をユーザーに付与します。ユーザーは、電話とメールを除く任意の要素タイプによる認証を求められます。
- ルール3（キャッチオールルール）は、ルール1または2を満たさないすべてのユーザーによるアクセスを拒否します。
アクセス権を付与する最も制限的なルール（ルール1）がリストの最上位にあることを確認します。キャッチオールルール（ルール3）は、リストの最下位にある必要があります。

IF条件：
- ［Device state is（デバイスの状態：）］：［Registered（登録済み）］
- ［Device management is（デバイス管理：）］：［Managed（管理対象）］
THENアクション：
- ［Access is（アクセス：）］：［Allowed after successful authentication（認証の成功後に許可）］
- ［User must authenticate with（ユーザーが使用する認証方法）］：任意の2要素タイプ
- ［Possession factor constraints are（所有要素の制約）］：フィッシング耐性、ハードウェア保護、ユーザーインタラクションの必要性
- ［Prompt for all other factors of authentication（認証のその他すべての要素のためのプロンプト）］：ユーザーがリソースにサインインするたび

パスワードを指定せずにアプリにアクセスするには、ユーザーがOkta Verifyアカウントで生体認証またはパスコード検証を有効にする必要があります。

IF条件：
- ［Device state is（デバイスの状態：）］：［Registered（登録済み）］
- ［Device management is（デバイス管理：）］：［Not managed（管理対象外）］
THENアクション：
- ［Access is（アクセス：）］：［Allowed after successful authentication（認証の成功後に許可）］
- ［User must authenticate with（ユーザーが使用する認証方法）］：パスワード+別の要素
- ［Possession factor constraints are（所有要素の制約）］：フィッシング耐性、ハードウェア保護、ユーザーインタラクションの必要性
  ［Require user interaction（ユーザーインタラクションが必要）］を選択する場合、Okta Verifyを使って認証するユーザーは、Okta Verifyプロンプトを承認する必要があります。［Require PIN or biometric user verification（PINまたは生体認証によるユーザー検証が必要）］も選択する場合にユーザーがリソースへのアクセス権を得るには、生体認証またはPIN検証を完了する必要があります。
- ［Prompt for all other factors of authentication（他のすべての認証要素を求める）］：ユーザーがリソースにサインインするたび

ルール1または2の条件を満たさないユーザーによるアクセスを拒否するようにキャッチオールルールを編集します。