プリセット認証ポリシー
Oktaには、標準のサインオン要件を持つアプリに適用できる、プリセット認証ポリシーがあります。一部のプリセットポリシーでは、グローバルセッションポリシーで特定のルールを設定する必要があります。各ポリシーで構成されているルールについては、次の表を参照してください。
-
Seamless access based on risk context(リスクコンテキストに基づくシームレスなアクセス)
-
Seamless access based on network context(ネットワークコンテキストに基づくシームレスなアクセス)
Oktaアカウント管理ポリシーは、3つのアクションに適用できる、事前に設定された固有の認証ポリシーです。構成オプションについては、「Oktaアカウント管理ポリシー」を参照してください。
Classicから移行
Classic Engineからアップグレードした場合、デフォルトのポリシーを使用していたアプリはこのポリシーを使用するようになります。
|
キャッチオールルール |
|
|---|---|
| IF [conditions(条件)] | すべて |
| THEN [Access is(アクセスの可否)] | 許可 |
| AND [User must authenticate with(ユーザーが認証に使用する要素)] | 任意の1要素タイプ |
| [Prompt for authentication(認証のためのプロンプト)] | Oktaグローバルセッションが存在しない場合 |
[Any two factors(任意の2つの要素)]
これは新しいorgのデフォルトポリシーです。アプリを追加した場合、そのアプリはこのポリシーで開始します。デフォルトから別のポリシーに変更することはできませんが、必要に応じてこのポリシーを編集できます。
|
キャッチオールルール |
|
|---|---|
| IF [conditions(条件)] | すべて |
| THEN [Access is(アクセスの可否)] | 許可 |
| AND [User must authenticate with(ユーザーが認証に使用する要素)] | [Any 2 factor types(任意の2要素タイプ)] |
| [Prompt for authentication(認証のためのプロンプト)] | 12時間後 |
Password only(パスワードのみ)
これは、認証にパスワードのみを必要とする一般的なユースケースです。
|
キャッチオールルール |
|
|---|---|
| IF [conditions(条件)] | すべて |
| THEN [Access is(アクセスの可否)] | 許可 |
| AND [User must authenticate with(ユーザーが認証に使用する要素)] | パスワード |
One factor access(1要素アクセス)
このポリシーでは、ユーザーはメールまたはSMSのみで認証する必要があります。
|
キャッチオールルール |
|
|---|---|
| IF [conditions(条件)] | すべて |
| THEN [Access is(アクセスの可否)] | 許可 |
| AND [User must authenticate with(ユーザーが認証に使用する要素)] | 任意の1要素タイプ |
このポリシーを使用するには、次の設定を使用したグローバルセッションポリシールールを追加します。
- AND [Establish the user session with(次を使用してユーザーセッションを確立:)]:[Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]
- AND [Multifactor authentication (MFA) is(多要素認証(MFA))]:[not required(不要)]
Seamless access based on risk context(リスクコンテキストに基づくシームレスなアクセス)
このポリシーでは、ユーザーはOkta FastPassで認証する必要があります。
|
ルール1:低リスク |
|
|---|---|
| IF [conditions(条件)] | リスク低 |
| THEN [Access is(アクセスの可否)] | 許可 |
| AND [User must authenticate with(ユーザーが認証に使用する要素)] | 任意の1要素タイプ |
AND [Access with Okta FastPass is granted(Okta FastPassを使用したアクセスを許可)] |
ユーザーがOkta Verifyでプロンプトを承認したり、生体認証を提供したりしない場合 |
|
ルール2:中リスク |
|
|---|---|
| IF [conditions(条件)] | リスク中 |
| THEN [Access is(アクセスの可否)] | 許可 |
| AND [User must authenticate with(ユーザーが認証に使用する要素)] | 任意の1要素タイプ |
| AND [Possession factor restraints are(所有要素の制限)] |
デバイスバウンド(電話とメールを除く) |
|
ルール3:高リスク |
|
|---|---|
| IF [conditions(条件)] | リスク高 |
| THEN [Access is(アクセスの可否)] | 許可 |
| AND [User must authenticate with(ユーザーが認証に使用する要素)] | 任意の2要素タイプ |
| AND [Possession factor restraints are(所有要素の制限)] |
デバイスバウンド(電話とメールを除く) |
|
キャッチオールルール |
|
|---|---|
| IF [conditions(条件)] | すべて |
| THEN [Access is(アクセスの可否)] | 拒否済み |
このポリシーを使用するには、次の設定を使用したグローバルセッションポリシールールを追加します。
- AND [Establish the user session with(次を使用してユーザーセッションを確立:)]:[Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]
- AND [Multifactor authentication (MFA) is(多要素認証(MFA))]:[not required(不要)]
Seamless access based on network context(ネットワークコンテキストに基づくシームレスなアクセス)
ユーザーがネットワークに接続していない場合、このポリシーには2つの要素が必要です。
|
ルール1:ネットワーク接続あり |
|
|---|---|
| IF [conditions(条件)] | LegacyIPZoneゾーン内 |
| THEN [Access is(アクセスの可否)] | 許可 |
| AND [User must authenticate with(ユーザーが認証に使用する要素)] | 任意の1要素タイプ |
|
ルール1:ネットワーク接続なし |
|
|---|---|
| IF [conditions(条件)] | ユーザーがLegacyIPZoneゾーン外 |
| THEN [Access is(アクセスの可否)] | 許可 |
| AND [User must authenticate with(ユーザーが認証に使用する要素)] | 任意の2要素タイプ |
|
キャッチオールルール |
|
|---|---|
| IF [conditions(条件)] | すべて |
| THEN [Access is(アクセスの可否)] | 拒否済み |
このポリシーを使用するには、次の設定を完了します。
- ネットワークゾーンを構成し、企業/VPM IPをLegacyIPZoneに追加します。
- 次の設定を使用したグローバルセッションポリシールールを追加します。
- AND [Establish the user session with(次を使用してユーザーセッションを確立:)]:[Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]
- AND [Multifactor authentication (MFA) is(多要素認証(MFA))]:[not required(不要)]
関連項目