サインオンのポリシーとルール
グローバルセッションポリシーと認証ポリシーは、保証を強制適用するために使用されます。アシュアランスとは、アプリケーションにサインインするユーザーがアカウントの所有者でもあるという信頼度を指します。このレベルは、1つ以上のオーセンティケーターの使用とそのオーセンティケーターの特性によって測定されます。知識要素と所有要素の両方を使って認証できるユーザーは、1つの要素だけで認証できるユーザーよりもアシュアランスレベルが高くなります。
Okta Identity Engineでは、エンドユーザーのアプリへのアクセスを許可する前に、グローバルセッションポリシーと認証ポリシーで指定された保証レベルが満たされている必要があります。これは、ユーザーがorgにサインインするか、アプリから直接サインインするかに応じて1つのポリシーを評価する従来の認証モデルから変わった点です。
特定のユーザーにポリシーが適用されるかどうかを判断するために、Oktaはポリシーとそのルールの条件を評価します。
- ポリシーには、同じセキュリティ特性を持つアプリや、同じアカウント設定要件を持つユーザーグループなど、同様の扱いが必要なリソースのグループが含まれています。
- ルールは、ある地理的なロケーションからの要求や、信頼できるネットワークにユーザーが接続しているかどうかなど、ポリシーの動作の条件を記述します。すべてのポリシーには、適用する前に少なくとも1つのルールが必要です。
ベストプラクティスとして、制限ルールは[Priority(優先度)]リストの一番上に配置する必要があります。さらに、複数のシナリオの条件の組み合わせを作成できます。ポリシーが持つことができるルールの数に制限はありません。
トピック
グローバルセッションポリシー | グローバルセッションポリシーは、ユーザーがOktaによって識別された後、次の認証ステップに進むために必要なサインインコンテキストを提供します。 |
認証ポリシー | 認証ポリシーは、リクエストされたアプリケーションのコンテキストでエンドユーザーの認証を強制します。(グローバルセッションポリシーによっても識別される)ユーザーの場所とプロファイルは、認証ポリシーのグループメンバーシップと認証基準と照合して検証されます。 |
ファーストパーティーアプリの認証ポリシーを変更する | Oktaには、各Oktaインスタンスでデフォルトで使用可能なファーストパーティーアプリケーションがいくつかあります。 |
グローバルセッションポリシーと認証ポリシーを構成して、エンドユーザー向けのパスワードなしサインインエクスペリエンスを作成します。 |