グローバルセッションポリシールールを追加する

ルールは、ある地理的なロケーションからの要求や、信頼できるネットワークにユーザーが接続しているかどうかなど、ポリシーの動作の条件を記述します。

ユーザーがサインインを試みると、一致するまで優先度の順序で各ルールによって評価されます。リスクが大きい条件のユーザーに対してアクセスを制限する順序でルールが並んでいることを確認してください。ゾーン外のユーザーのみに適用されるルールよりも、全員に適用されるルールを優先しないでください。ポリシーの評価は、全員のルールに達すると停止されるためです。

グローバルセッションポリシーが持つことができるルールの数に制限はありませんが、少なくとも1つのルールを持つ必要があります。

新しいポリシーにルールを追加する場合は、このタスクをステップ4から開始します。

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Global Session Policy(グローバルセッションポリシー)]に移動します。
  2. ルールを追加するポリシーを選択します。
  3. [Add rule(ルールを追加)]をクリックします。
  4. [Rule Name(ルール名)]フィールドに、作成するルールのわかりやすい名前を追加します。
  5. 任意。[Exclude users(ユーザーを除外)]フィールドに、ルールから除外するグループの個々のユーザーを示します。
  6. 条件を示します。
    IF[User’s IP is(ユーザーのIP:)]

    ドロップダウンメニューを使用して場所のパラメーターを割り当てます。

    • [Anywhere(すべての場所)][In zone(ゾーン内)][Not in zone(ゾーン外)]のうち、どの場合に認証を行うように促すかを指定します。
    • [In zone(ゾーン内)]または[Not in zone(ゾーン外)]の場合は、[All Zones(すべてのゾーン)]を選択するか、個々のゾーンを指定できます。現在のゲートウェイ設定を表示するには、[Manage Configurations for Network(ネットワークの構成を管理)]をクリックします。新しくゾーンを追加する場合は、「ネットワークゾーンの構成」を参照してください。
    AND[Identity provider is(IDプロバイダー:)]

    このドロップダウンメニューを使用して、IDプロバイダーを指定します。

    • [Any(すべて)]:IDプロバイダーとしてOktaまたは特定のIdPのいずれかを使用する場合は、このオプションを選択します。
    • [Okta]:IDプロバイダーとしてOktaのみを使用する場合は、このオプションを選択します。
    • [Specific IdP(特定のIdP)]:指定したIDプロバイダーを使用する場合は、このオプションを選択します。IDプロバイダーを選択するには、2番目のフィールドをクリックします。目的のIDプロバイダーがリストにない場合は、「ソーシャルログイン(IdP)の追加」を参照してください。

    注:これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

    AND[Authenticates via(次で認証:)]このドロップダウンメニューを使用して、必要な認証方法を指定します。
    AND[Behavior is(動作:)]

    動作タイプまたは名前付き動作を入力します。リスクの高い動作については、必ずMFA要件を[At every sign in(サインイン毎)]に設定してください。動作条件をデバイスごとまたはセッションごとのMFA要件と組み合わせないでください。

    動作タイプについて」を参照してください。

    AND[Risk is(リスクレベル)]

    [Low(低)][Medium(中)]、または[High(高)]のリスクレベルを選択します。[High(高)]を選択した場合は、必ずMFA要件を[At every sign in(サインイン毎)]に設定してください。高リスクレベルをデバイスまたはセッションのMFA要件と組み合わせないでください。

    「リスクスコアリング」を参照してください。

    THEN[Access is(アクセスの可否)]前のドロップダウンリストの認証フォームに基づき、このフォームを使用して条件がアクセスを許可または拒否するかを決定します。
    AND [Establish the user session with(次を使用してユーザーセッションを確立:)]

    [A password(パスワード)]または[Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]を選択します。

    パスワードなしサインインエクスペリエンスをセットアップする」を参照してください。

    [Multifactor authentication (MFA) is(多要素認証(MFA))]

    多要素認証が必要かどうかを示します。次の条件に注意してください。

    • [Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]を選択し、そのポリシーがパスワードを必要とする場合、その要素はプライマリ要素と見なされます。セカンダリ要素を[A password(パスワード)]にすることはできません。
    • セカンダリ要素をセキュリティ質問にしたい場合、プライマリ要素は[A password(パスワード)]でなければなりません。この組み合わせはMFA/SSOフローでのみ機能します。Oktaでは、認証フローでセキュリティ質問を使用しないことを推奨しています。

    [Users will be prompted for MFA(ユーザーにMFA用のプロンプトを表示)]

    このオプションは、[Multifactor authentication (MFA) is(多要素認証(MFA))]オプションで[Required(必須)]を選択すると表示されます。ユーザーが多要素認証を使用する必要がある場合に、使用するためのプロンプトがいつ表示されるかを示します。

    • [At every sign in(サインイン毎)]:ユーザーは、Oktaにサインインするたびに多要素認証を求められます。このオプションは、リスクの高いサインインイベントを検出する動作条件での使用に適しています。
    • [When signing in with a new device cookie(新しいデバイスCookieでサインインする場合)]:ユーザーが新しいデバイスでサインインしようとしたとき、または既存のデバイスからCookieが削除された場合に、ユーザーは多要素認証を求められます。ユーザーが(ブラウザーのCookieに基づいて)同じデバイスからサインインしているように見える場合にMFAをバイパスできるため、低リスク、低保証のユースケースにのみ適しています。動作条件では使用しないでください。
    • [After MFA lifetime expires for the device cookie(デバイスCookieのMFAのライフタイムが期限切れになった後)]:ユーザーは、MFAのライフタイム期間が期限切れになった後にサインインしようとすると、多要素認証を求められます。MFAのライフタイムとセッションライフタイムの両方を設定できますが、MFAのライフタイムは、新しいセッションが作成されたとき、またはユーザーがデバイスを変更したときにのみ強制適用されることに注意してください。
      • [MFA lifetime(MFAのライフタイム)]:このオプションは、[After MFA lifetime expires for the device cookie(デバイスCookieのMFAのライフタイムが期限切れになった後)]を選択すると表示されます。右側のフィールドに数値を入力し、ドロップダウンリストから値を選択します([Days(日)][Hours(時間)][Minutes(分)])。

    [Max Okta session lifetime(Okta最大セッションライフタイム)]

    Oktaセッションライフタイムを構成します。

    • [No time limit(時間制限なし)]:このオプションを選択すると、Oktaセッションに時間制限は適用されませんが、ユーザーセッションはアイドル時間に達すると期限切れになります。

    • [Set time limit(時間制限を設定)]:Oktaセッションライフタイムに時間制限を設定します。右側のフィールドに数値を入力し、ドロップダウンリストから値を選択します([Days(日)][Hours(時間)][Minutes(分)])。

    [Max Okta session lifetime(Oktaセッションの最大ライフタイム)]は、低リスク、低保証のユースケースにのみ適切であり、動作条件またはリスク条件では使用しないでください。

    [Expire session after user has been idle on Okta for(ユーザーがOktaで次の間アイドル状態になった後にセッションを期限切れにする:)]

    Oktaセッションの最大ライフタイムに関係なく、Oktaセッションが自動的に期限切れになるまでのアイドル時間を構成します。

    • 右側のフィールドに数値を入力し、ドロップダウンリストから値を選択します([Days(日)][Hours(時間)][Minutes(分)])。

    [Persist session cookies across browser sessions(ブラウザーセッション間でセッションCookieを保持)]

    Okta APIでusePersistentCookieオプションを設定すると、このオプションが表示されます。「セッションと永続的シングルサインオン」を参照してください。

    ブラウザーセッション間でのセッションCookieの保持を有効化または無効化します。ドロップダウンリストからオプションを選択します。

    • [Enable(有効化)]:ユーザーが希望する場合に、セッションCookieがブラウザーセッション間で保持されることを許可します。この機能を有効化するには、ユーザーがOkta Sign-in Widget[Keep me signed in(サインインしたままにする)]を選択する必要があります。

    • [Disable(無効化)]:セッションCookieがブラウザーセッション間で保持されることを許可しません。

  7. [Create Rule(ルールを作成)]をクリックします。

サインインしたままにする

Oktaでは、管理者が、ユーザーのログインの負担を最小限に抑えるグローバルセッションポリシーを作成することができます。

管理者は、永続的Cookieの使用を許可できます。これにより、ブラウザーセッションが終了した後もデバイス上でユーザーのOktaセッションCookieが維持されます。管理者は、ユーザーがOktaにサインインするときに2つ目の要素の入力を求める頻度を指定することもできます。エンドユーザーは、Okta Sign-in Widgetで[Keep me signed in(サインインしたままにする)]を選択することで、この機能にオプトインできます。このチェックボックスにより、グローバルセッションポリシーで指定された期間、エンドユーザーの識別子とオーセンティケーターの検証情報がデバイスに保持されます。

エンドユーザーがサインアウトするか、セッションが期限切れになると、エンドユーザーのオーセンティケーターの検証が消去されます。[Keep me signed in(サインインしたままにする)]チェックボックスを選択したユーザーも、現在のデバイスで少なくとも1回は多要素認証に合格する必要があります。

永続的Cookieについて

グローバルセッションポリシールールに永続的Cookieが設定されている場合は、[Keep me signed in(サインインしたままにする)]機能により、ブラウザーを閉じた後もユーザーがサインインしたままになるようにブラウザーのセッションCookieが保持されます。

注

グローバルセッションポリシーの永続的Cookieは、Okta APIのusePersistentCookieオプションを設定することによってのみ構成できます。「セッションと永続的シングルサインオン」を参照してください。

usePersistentCookieが構成されている場合:

  • APIは、ブラウザーセッション間で持続するCookieを設定します。ユーザーがブラウザーを終了して再度ブラウザーを開いた場合、ユーザーがサインアウトしない限り、ブラウザーセッションは保持されます。
  • 永続的Cookieは、グローバルセッションポリシーの設定に従い、セッションが期限切れになるまで有効です。
  • Okta管理者に永続的Cookieが設定されることはありません。

グローバルセッションポリシールールに関する注意事項

  • グローバルセッションポリシーは、セッション全体の有効期間を制御しますが、再認証の頻度は、認証ポリシールールによって制御されます。
  • エンドユーザーのセッションは、グローバルセッションポリシーの設定に従って期限切れになります。この時点で、エンドユーザーは、サインイン時に[Keep me signed in(サインインしたままにする)]オプションを選択したかどうかに関係なく、再認証する必要があります。
  • AND[Authenticates via(次で認証:)]の条件がLDAPに設定されている場合、AND [Establish user session with(次でユーザーセッションを確立:)]の選択は無効になります。LDAPインターフェイスのバインドリクエストでは、MFA情報を含むユーザー名とパスワードが引き続き必要になる場合があります。「LDAPインターフェイスで多要素認証を使用する」を参照してください。

関連項目

グローバルセッションポリシー

認証ポリシー

エンドユーザーの登録