Okta FastPassを使ったパスワードレス認証にアプリサインインポリシーを構成する

Okta FastPassを使用した安全なパスワードレス認証を有効化するために、アプリサインインポリシーをセットアップする方法について説明します。

開始する前に

  • 強力なアプリサインインポリシーを使用して、すべてのアプリを保護します。その上で、グローバルセッションポリシーからデフォルトのグローバルパスワード要件を削除します。この変更により、認証のロジックとコントロールがグローバルセッションポリシーからアプリサインインポリシーに変換されます。
  • ポリシーを構成する前に、すべてのユーザーがOkta Verifyに登録されていることを確認します。ユーザーがOkta Verifyアカウントを追加すると、ユーザーのデバイスはOkta Universal Directoryに登録されます。
  • Classic Engineからアップグレードするときは、アプリのサインオンポリシーを参照してください。

アプリサインインポリシールールを構成する

  1. アプリサインインポリシールールを作成します。アプリ・サインイン・ポリシー・ルールを追加するを参照してください。
    • ルール1は、安全なハードウェアを備えた管理対象の登録済みデバイス上のアプリへのアクセス権をユーザーに付与します。ユーザーは、2つの要素タイプによる認証を求められます。
    • ルール2は、管理対象ではない登録済みデバイス上のアプリへのアクセス権をユーザーに付与します。ユーザーは、電話とメールを除く任意の要素タイプによる認証を求められます。
    • ルール3(キャッチオールルール)は、ルール1または2を満たさないすべてのユーザーによるアクセスを拒否します。

  2. アクセス権を付与する最も制限的なルール(ルール1)がリストの最上位にあることを確認します。キャッチオールルール(ルール3)は、リストの最下位にある必要があります。

ポリシールールの例

ルール1(最も制限が厳しい)

  • IF条件:
    • デバイスの状態:(Device state is)登録済み(:[Registered)]
    • デバイス管理:(Device management is)管理対象(:[Managed)]
  • THENアクション:
    • アクセス:(Access is)認証の成功後に許可(:[Allowed after successful authentication)]
    • ユーザーが使用する認証方法(User must authenticate with):任意の2要素タイプ
    • 所有要素の制約(Possession factor constraints are):フィッシング耐性、ハードウェア保護、ユーザーインタラクションの必要性
    • 認証のその他すべての要素のためのプロンプト(Prompt for all other factors of authentication):ユーザーがリソースにサインインするたび

パスワードを指定せずにアプリにアクセスするには、ユーザーがOkta Verifyアカウントで生体認証またはパスコード検証を有効にする必要があります。

ルール2(制限があまり厳しくない)

  • IF条件:
    • デバイスの状態:(Device state is)登録済み(:[Registered)]
    • デバイス管理:(Device management is)管理対象外(:[Not managed)]
  • THENアクション:
    • アクセス:(Access is)認証の成功後に許可(:[Allowed after successful authentication)]
    • ユーザーが使用する認証方法(User must authenticate with):パスワード+別の要素
    • 所有要素の制約(Possession factor constraints are):フィッシング耐性、ハードウェア保護、ユーザーインタラクションの必要性

      ユーザーインタラクションが必要(Require user interaction)を選択する場合、Okta Verifyを使って認証するユーザーは、Okta Verifyプロンプトを承認する必要があります。PINまたは生体認証によるユーザー検証が必要(Require PIN or biometric user verification)も選択する場合にユーザーがリソースへのアクセス権を得るには、生体認証またはPIN検証を完了する必要があります。

    • 他のすべての認証要素を求める(Prompt for all other factors of authentication):ユーザーがリソースにサインインするたび

ルール3(キャッチオールルール)

ルール1または2の条件を満たさないユーザーによるアクセスを拒否するようにキャッチオールルールを編集します。

関連項目

アプリ・サインイン・ポリシー(App sign-in policies)

デバイス保証をアプリサインインポリシーに追加する