サインインフロー
サインインフローのシーケンスは、ポリシーで設定した認証アシュアランス要件によって異なります。Okta Identity Engineでは、エンドユーザーがアプリにアクセスできるようになる前に、グローバルセッションポリシーと認証ポリシーの両方で指定された認証保証が満たされている必要があることに注意してください。
サインオンポリシーはユーザーが次のステップに進み、アクセスの許可、チャレンジプロンプトの表示、別のチャレンジプロンプトが表示されるまでに必要な時間の設定など、取るべきアクションを指定するために必要なコンテキストを提供します。
グローバルセッションポリシーでは、org内のすべてのアプリのアクセスをグローバルに定義します。「グローバルセッションポリシー」を参照してください。
認証ポリシーは、リクエストされたアプリケーションのコンテキストでのみエンドユーザーの認証を強制適用します。「認証ポリシー」を参照してください。
ユーザーの場所とプロファイルは、ポリシーのグループメンバーシップと認証基準の両方を使用して検証されます。
エンドユーザーに対してパスワードなしでのサインインが許可されている場合、Oktaはサインインエクスペリエンスの最適化を試みます。デバイスがOkta Verifyに登録されていて、生体オーセンティケーターが有効になっている場合、ユーザー認証に使用される最初の要素は必ず生体認証オーセンティケーターです。
エンドユーザーがパスワードを使用してサインインすることが求められる場合、必ずパスワード先行プロンプトが表示されます。これは、パスワードオーセンティケーターがほかのオーセンティケーターとともに定義されている認証ポリシー構成に当てはまります。
パスワード/IDP
グローバルセッションポリシールールのいずれかでプライマリ要素が[Password / IDP(パスワード/IDP)]に設定されている場合、パスワード先行のOkta Sign-in Widgetがエンドユーザーに表示されます。
-
エンドユーザーはドメインを含む完全なアプリの[Username(ユーザー名)]を入力し、[Password(パスワード)]フィールドに自分のパスワードを入力します。
[Keep me signed in(サインインしたままにする)]チェックボックスをオンにすると、ポリシールールで指定された期間にわたって、識別子とオーセンティケーターの検証情報がデバイスに保持されます。これは、Okta Classic Engine orgの[Remember me(記憶する)]オプションに代わるものです。
-
エンドユーザーは[Sign in(サインイン)]をクリックして、認証プロセスを開始します。
-
エンドユーザーは[security method(セキュリティ方法)]ページで、グローバルセッションポリシーと認証ポリシーの両方で許可されているプライマリオーセンティケーターオプションを1つ選択します。
-
[Select(選択)]をクリックしてオーセンティケーターを選択すると、エンドユーザーは検証ステップに移動します。このステップでは、必要なオーセンティケーターを入力して[Verify(検証)]をクリックします。
パスワード/IDP/アプリのサインオンルールで許可された任意の要素
グローバルセッションポリシールールのいずれかでプライマリ要素が[Password / IDP / any factor allowed by app sign on rules(パスワード/IDP/アプリのサインオンルールで許可された任意の要素)]に設定されている場合、identifier firstのOkta Sign-in Widgetがアクセスフローの最初の画面としてエンドユーザーに表示されます。
-
エンドユーザーはドメインを含む完全なアプリの[Username(ユーザー名)]を入力し、[Next(次へ)]をクリックします。
[Keep me signed in(サインインしたままにする)]チェックボックスをオンにすると、ポリシールールで指定された期間にわたって、識別子とオーセンティケーターの検証情報がデバイスに保持されます。これは、Okta Classic Engine orgの[Remember me(記憶する)]オプションに代わるものです。
ユーザー名がorgで認識されていない場合は、Okta Sign-in Widgetでそのユーザー名のアカウントがないという警告が表示され、ユーザーがサインインできないというエラーが返されます。
-
エンドユーザーは[security method(セキュリティ方法)]ページで、グローバルセッションポリシーと認証ポリシーの両方で許可されているプライマリオーセンティケーターオプションを1つ選択します。
-
[Select(選択)]をクリックしてオーセンティケーターを選択すると、エンドユーザーは検証ステップに移動します。このステップでは、必要なオーセンティケーターを入力して[Verify(検証)]をクリックします。