グローバルセッションポリシールールを追加する

ルールは、ある地理的なロケーションからの要求や、信頼できるネットワークにユーザーが接続しているかどうかなど、ポリシーの動作の条件を記述します。

ユーザーがサインインを試みると、ポリシー内の各ルールは、一致するまで優先順位（Priority）の順にサインイン試行を評価します。高リスク条件のユーザーによるアクセスを制限する順にルールが並んでいることを確認してください。たとえば、ネットワークゾーン外のユーザーのみに提要されるルールは、全員に適用されるルールより上に配置します。全員に適用されるルールに達すると、ポリシーの評価は停止します。

グローバルセッションポリシーに含めるルールの数に制限はありませんが、少なくとも1つのルールを指定する必要があります。

注:

新しいポリシーにルールを追加する場合は、このタスクをステップ4から開始します。

Admin Consoleでセキュリティ（Security） > グローバルセッションポリシーに移動します。
ルールを追加するポリシーを選択します。
ルールを追加（Add rule）をクリックします。
ルール名（Rule Name）（Rule name）フィールドに、作成するルールのわかりやすい名前を追加します。
任意。ユーザーを除外（Exclude users）フィールドに、ルールから除外するグループの個々のユーザーを示します。

条件を示します。

ユーザーのIP（IF ［User's IP is）］（IF User's IP is）	ドロップダウンメニューを使用して場所のパラメーターを割り当てます。すべての場所（Anywhere）、ゾーン内（In zone）、ゾーン外（Not in zone）のうち、どの場合に認証を行うように促すかを指定します。ゾーン内（In zone）またはゾーン外（Not in zone）の場合は、すべてのゾーン（All Zones）を選択するか、個々のゾーンを指定できます。ゾーンを指定する場合には、IPが動的であり、IPの地理位置情報が保証されないことに注意してください。現在のゲートウェイ設定を表示するには、ネットワークの構成を管理（Manage Configurations for Network）をクリックします。新規を追加するには、ネットワークゾーンを管理するを参照してください。
AND IDプロバイダー：（AND Identity provider is）	このドロップダウンメニューを使用して、IDプロバイダーを指定します。すべて（Any）：IDプロバイダーとして Okta または特定のIdP（Specific IdP）のいずれかを使用する場合は、このオプションを選択します。 Okta ：IDプロバイダーとして Okta のみを使用する場合は、このオプションを選択します。特定のIdP（Specific IdP）：指定したIDプロバイダーを使用する場合は、このオプションを選択します。IDプロバイダーを選択するには、2番目のフィールドをクリックします。ソーシャルログイン（IdP）を追加するを参照してください。注：これは早期アクセス機能です。有効にするには、Oktaサポートまで連絡してください。
AND次で認証：（AND Authenticates via）	このドロップダウンメニューを使用して、必要な認証方法を指定します。どれでも（Any）：あらゆる認証手段を使用します。 LDAPインターフェイス（LDAP interface）：認証手段にLDAPを使用します。
AND動作：（AND Behavior is）	動作タイプまたは名前が付けられた動作を入力します。リスクの高い動作については、MFA要件をサインイン毎（At every sign in）に設定してください。動作条件をデバイスごと（per device）またはセッションごと（per session）のMFA要件と組み合わせないでください。動作タイプについてを参照してください。
ANDリスクレベル（AND Risk is）	低（Low）、中（Medium）、または高（High）のリスクレベルを選択します。高（High）を選択した場合は、必ずMFA要件をサインイン毎（At every sign in）に設定してください。高リスクレベルをデバイス（device）またはセッション（session）のMFA要件と組み合わせないでください。リスクスコアリングを参照してください。
THENアクセスの可否（THEN Access is）	このルールによってアクセスを許可または拒否するための条件が設定されるかどうかを決定するオプションを選択します。
次を使用してユーザーセッションを確立（Establish the user session with）	ユーザーセッションを確立するためのオプションを選択します。パスワード（A password）：ユーザーセッションの確立のためにパスワードを必須とします。認証ポリシーの要件を満たすために使用される任意の要素（Any factor used to meet the Authentication Policy requirements）：ユーザーセッションの確立のためにアプリ・サインイン・ポリシーに含まれるAuthenticatorを必須とします。ユーザーは、パスワードを使用せずにOktaにサインインすることもできます。「パスワードレスサインインエクスペリエンスをセットアップする」を参照してください。
Multifactor authentication (MFA) is（多要素認証（MFA））	多要素認証が必要かどうかを示します。多要素認証を参照してください。次の条件に注意してください。認証ポリシーの要件を満たすために使用される任意の要素（Any factor used to meet the Authentication Policy requirements）を選択し、そのポリシーがパスワードを必要とする場合、その要素はプライマリ要素と見なされます。セキュリティ質問などの知識ベースの要素は、セカンダリ要素にできません。セキュリティ質問をセカンダリ要素にするには、プライマリ要素がパスワード（A password）である必要があります。この組み合わせはMFA/SSOフローでのみ機能します。認証フローではセキュリティ質問を使用しないことが推奨されます。
ユーザーにMFA用のプロンプトを表示（Users will be prompted for MFA）	このオプションは、Multifactor authentication (MFA) is（多要素認証（MFA））（Required）オプションで必須（Required）（Multifactor authentication (MFA) is）を選択すると表示されます。ユーザーに多要素認証の使用が求められる場合に、使用を求めるプロンプトがいつ表示されるかを示します。サインイン毎（At every sign in）：ユーザーは、OktaにサインインするたびにMFAを求められます。このオプションは、高リスクのサインインイベントを検出する行動条件での使用に適しています。新しいデバイスcookieでサインインする場合（When signing in with a new device cookie）：ユーザーが新しいデバイスを使ってサインインする場合、または既存のデバイスからcookieが削除される場合に、ユーザーはMFAを求められます。同一デバイスからサインインしているように見えればユーザーはMFAをバイパスできるため、このオプションは低リスクのユースケースのみで選択してください。動作条件では使用しないでください。デバイスcookieのMFAライフタイムが期限切れになった後（After MFA lifetime expires for the device cookie）：MFAライフタイム期間の期限切れ後にサインインを試みると、ユーザーはMFAを求められます。MFAライフタイム（MFA lifetime）は、新規セッションの作成時、またはユーザーがデバイスを変更した場合にのみ強制適用されます。 MFAライフタイム（MFA lifetime）：このオプションは、デバイスcookieのMFAライフタイムが期限切れになった後（After MFA lifetime expires for the device cookie）を選択すると表示されます。左のフィールドに数値を入力し、ドロップダウンリストから値を選択します（分（Minutes）、時間（Hours）、日（Days））。
Oktaグローバルセッションの最大ライフタイム（Maximum Okta global session lifetime）	Oktaセッションライフタイムを構成します。時間制限なし（No time limit）：このオプションを選択すると、Oktaセッションに時間制限は適用されませんが、アイドル時間に達するとユーザーセッションは期限切れになります。この設定は、低リスク、低保証のユースケースのみに適切です。動作やリスク条件では使用しないでください。時間制限を設定（Set time limit）：Oktaセッションライフタイムに時間制限を設定します。左のフィールドに数値を入力し、ドロップダウンリストから値を選択します（分（Minutes）、時間（Hours）、日（Days））。 Admin Consoleのセッションライフタイムは、このグローバル設定とは独立して設定できます。「Admin Consoleタイムアウトポリシーを構成する」を参照してください。
Oktaグローバルセッションの最大アイドル時（Maximum Okta global session idle time）	Okta最大セッションライフタイムに関係なく、Oktaセッションが自動的に期限切れになるまでのアイドル時間を構成します。左のフィールドに数値を入力し、ドロップダウンリストから値を選択します（日（Days）、時間（Hours）、分（Minutes））。 Admin Consoleのタイムアウトは、このグローバル設定とは独立して設定できます。「Admin Consoleのセッション管理を構成する」を参照してください。
ブラウザーセッション間でOktaグローバルセッションcookieを保持（Persist session cookies across browser sessions）（Okta global session cookies persist across browser sessions）	Okta APIで`usePersistentCookie`オプションを設定すると、このオプションが表示されます。「セッションと永続的シングルサインオン」を参照してください。ブラウザーセッション間でのセッションcookieの保持を有効化または無効化します。ドロップダウンリストからオプションを選択します。有効化（Enable）：セッションcookieがブラウザーセッション間で保持されることを許可します。この機能を有効化するには、ユーザーがSign-In Widgetでサインインしたままにする（Stay signed in）を選択する必要があります。無効化（Disable）：ブラウザーセッション間でセッションcookieが持続することを許可しません。一部の各ブラウザー設定では、クッキーのライフタイムが影響を受け、この設定が上書きされる可能性があります。

ルールを作成（Create Rule）をクリックします。

永続的クッキーについて

グローバルセッションポリシーの永続的クッキーは、Okta APIのusePersistentCookieオプションを設定することによってのみ構成できます。「セッションと永続的シングルサインオン」を参照してください。

APIは、ブラウザーセッション間で持続するcookieを設定します。ユーザーがブラウザーを終了して再度ブラウザーを開いた場合、ユーザーがサインアウトしない限り、ブラウザーセッションは保持されます。
永続的cookieは、グローバルセッションポリシーの設定に従い、セッションが期限切れになるまで有効です。
Okta管理者に永続的cookieが設定されることはありません。

グローバルセッションポリシールールに関する注意事項

グローバルセッションポリシーは、セッション全体の有効期間を制御しますが、再認証の頻度はアプリ・サインイン・ポリシーのルールによって制御されます。
場所のみに依存してアクセスを拒否するポリシーは作成しないでください。IPが動的であり、IPジオロケーションが保証されないことに注意してください。
エンドユーザーのセッションは、グローバルセッションポリシーの設定に従って期限切れになります。この時点で、サインイン時にサインインしたままにする（Stay signed in）オプションを選択したかどうかに関係なく、エンドユーザーは再認証する必要があります。
次で認証：（AND Authenticates via）の条件がLDAPに設定されている場合、AND 次でユーザーセッションを確立：（Establish user session with）の選択は無効になります。LDAPインターフェイスのバインドリクエストでは、MFA情報を含むユーザー名とパスワードが引き続き必要になる場合があります。LDAPインターフェイスで多要素認証を使用するを参照してください。
デフォルトポリシーのデフォルトルールでじゃ、次の条件のみを編集することができます。
- 次を使用してユーザーセッションを確立（Establish the user session with）
- Multifactor authentication (MFA) is（多要素認証（MFA））
- ユーザーにMFA用のプロンプトを表示（Users will be prompted for MFA）
- Oktaグローバルセッションの最大アイドル時（Maximum Okta global session idle time）