グローバルセッションポリシールールを追加する

ルールは、ある地理的なロケーションからの要求や、信頼できるネットワークにユーザーが接続しているかどうかなど、ポリシーの動作の条件を記述します。

ユーザーがサインインを試みると、ポリシー内の各ルールは、一致するまで［Priority（優先順位）］の順にサインイン試行を評価します。高リスク条件のユーザーによるアクセスを制限する順にルールが並んでいることを確認してください。たとえば、ネットワークゾーン外のユーザーのみに提要されるルールは、全員に適用されるルールより上に配置します。全員に適用されるルールに達すると、ポリシーの評価は停止します。

グローバルセッションポリシーに含めるルールの数に制限はありませんが、少なくとも1つのルールを指定する必要があります。

新しいポリシーにルールを追加する場合は、このタスクをステップ4から開始します。

Admin Consoleで、［Security（セキュリティ）］［Global Session Policy（グローバルセッションポリシー）］に移動します。
ルールを追加するポリシーを選択します。
［Add rule（ルールを追加）］をクリックします。
［Rule Name（ルール名）］フィールドに、作成するルールのわかりやすい名前を追加します。
任意。［Exclude users（ユーザーを除外）］フィールドに、ルールから除外するグループの個々のユーザーを示します。

条件を示します。

IF［User's IP is（ユーザーのIP）］： ドロップダウンメニューを使用して場所のパラメーターを割り当てます。 ［Anywhere（すべての場所）］、［In zone（ゾーン内）］、［Not in zone（ゾーン外）］のうち、どの場合に認証を行うように促すかを指定します。［In zone（ゾーン内）］または［Not in zone（ゾーン外）］の場合は、すべてのゾーンを選択するか、個々のゾーンを指定できます。現在のゲートウェイ設定を表示するには、［Manage Configurations for Network（ネットワークの構成を管理）］をクリックします。新しくゾーンを追加する場合は、「ネットワークゾーンの構成」を参照してください。 AND［Identity provider is（IDプロバイダー：）］ このドロップダウンメニューを使用して、IDプロバイダーを指定します。 ［Any（すべて）］：IDプロバイダーとして［Okta］または［Specific IdP（特定のIdP）］のいずれかを使用する場合は、このオプションを選択します。 ［Okta］：IDプロバイダーとして［Okta］のみを使用する場合は、このオプションを選択します。 ［Specific IdP（特定のIdP）］：指定したIDプロバイダーを使用する場合は、このオプションを選択します。IDプロバイダーを選択するには、2番目のフィールドをクリックします。「ソーシャルログイン（IdP）を追加する」を参照してください。 注：これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。 AND［Authenticates via（次で認証：）］このドロップダウンメニューを使用して、必要な認証方法を指定します。 AND［Behavior is（行動：）］ 行動タイプまたは名前付き行動を入力します。リスクの高い行動については、必ずMFA要件を［At every sign in（サインイン毎）］に設定してください。動作条件をper device（デバイスごと）またはper session（セッションごと）のMFA要件と組み合わせないでください。 「動作タイプについて」を参照してください。 AND［Risk is（リスクレベル）］ ［Low（低）］、［Medium（中）］、または［High（高）］のリスクレベルを選択します。［High（高）］を選択した場合は、必ずMFA要件を［At every sign in（サインイン毎）］に設定してください。高リスクレベルをdevice（デバイス）またはsession（セッション）のMFA要件と組み合わせないでください。 「リスクスコアリング」を参照してください。 THEN［Access is（アクセスの可否）］前のドロップダウンリストの認証フォームに基づき、このフォームを使用して条件がアクセスを許可または拒否するかを決定します。 ［Establish the user session with（次を使用してユーザーセッションを確立：）］ ユーザーセッションを確立するためのオプションを選択します。 ［A password（パスワード）］：ユーザーセッションの確立のためにパスワードを必須とします。 ［Any factor used to meet the Authentication Policy requirements（認証ポリシーの要件を満たすために使用される任意の要素）］：ユーザーセッションの確立のために認証ポリシーに含まれるAuthenticatorを必須とします。 ユーザーは、パスワードを使用せずにOktaにサインインすることもできます。「パスワードなしサインインエクスペリエンスをセットアップする」を参照してください。 ［Multifactor authentication (MFA) is（多要素認証（MFA））］ 多要素認証が必要かどうかを示します。「多要素認証」を参照してください。 次の条件に注意してください。 ［Any factor used to meet the Authentication Policy requirements（認証ポリシーの要件を満たすために使用される任意の要素）］を選択し、そのポリシーがパスワードを必要とする場合、その要素はプライマリ要素と見なされます。秘密の質問などの知識ベースの要素は、セカンダリ要素にできません。 秘密の質問をセカンダリ要素にするには、プライマリ要素が［A password（パスワード）］である必要があります。この組み合わせはMFA/SSOフローでのみ機能します。Oktaでは、認証フローでセキュリティ上の質問を使用しないことを推奨しています。 ［Users will be prompted for MFA（ユーザーにMFA用のプロンプトを表示）］ このオプションは、［Multifactor authentication (MFA) is（多要素認証（MFA））］オプションで［Required（必須）］を選択すると表示されます。ユーザーに多要素認証の使用が求められる場合に、使用を求めるプロンプトがいつ表示されるかを示します。 ［At every sign in（サインイン毎）］：ユーザーは、OktaにサインインするたびにMFAを求められます。このオプションは、高リスクのサインインイベントを検出する行動条件での使用に適しています。 ［When signing in with a new device cookie（新しいデバイスcookieでサインインする場合）］：ユーザーが新しいデバイスを使ってサインインする場合、または既存のデバイスからcookieが削除される場合に、ユーザーはMFAを求められます。同一デバイスからサインインしているように見えればユーザーはMFAをバイパスできるため、このオプションは低リスクのユースケースのみで選択してください。行動条件では使用しないでください。 ［After MFA lifetime expires for the device cookie（デバイスcookieのMFAライフタイムが期限切れになった後）］：MFAライフタイム期間の期限切れ後にサインインを試みると、ユーザーはMFAを求められます。［MFA lifetime（MFAライフタイム）］は、新規セッションの作成時、またはユーザーがデバイスを変更した場合にのみ強制適用されます。 ［MFA lifetime（MFAライフタイム）］：このオプションは、［After MFA lifetime expires for the device cookie（デバイスcookieのMFAライフタイムが期限切れになった後）］を選択すると表示されます。右側のフィールドに数値を入力し、ドロップダウンリストから値を選択します（［Days（日）］、［Hours（時間）］、［Minutes（分）］）。 ［Maximum Okta global session lifetime（Oktaグローバルセッションの最大ライフタイム）］ Oktaセッションライフタイムを構成します。 ［No time limit（時間制限なし）］：このオプションを選択すると、Oktaセッションに時間制限は適用されませんが、ユーザーセッションはアイドル時間に達すると期限切れになります。 この設定は、低リスク、低保証のユースケースにのみ適切であり、動作条件またはリスク条件では使用しないでください。 ［Set time limit（時間制限を設定）］：Oktaセッションライフタイムに時間制限を設定します。右のフィールドに数値を入力し、ドロップダウンリストから値を選択します（［Days（日）］、［Hours（時間）］、［Minutes（分）］）。 Admin Consoleのセッションライフタイムは、このグローバル設定とは独立して設定できます。<MadCap:conditionalText data-mc-conditions="MultiProdPublish.OIE">「Admin Consoleセッションライフタイムを構成する」を参照してください。</MadCap:conditionalText> ［Maximum Okta global session lifetime（Oktaグローバルセッションの最大アイドル時間）］ Oktaセッションの最大ライフタイムに関係なく、Oktaセッションが自動的に期限切れになるまでのアイドル時間を構成します。 右のフィールドに数値を入力し、ドロップダウンリストから値を選択します（［Days（日）］、［Hours（時間）］、［Minutes（分）］）。 Admin Consoleのタイムアウトは、このグローバル設定とは独立して設定できます。<MadCap:conditionalText data-mc-conditions="MultiProdPublish.OIE">「Admin Consoleセッションライフタイムを構成する」を参照してください。</MadCap:conditionalText> ［Persist session cookies across browser sessions（ブラウザーセッション間でOktaグローバルセッションcookieを保持）］ Okta APIでusePersistentcookieオプションを設定すると、このオプションが表示されます。「セッションと永続的シングルサインオン」を参照してください。 ブラウザーセッション間でのセッションcookieの保持を有効化または無効化します。ドロップダウンリストからオプションを選択します。 ［Enable（有効化）］：セッションcookieがブラウザーセッション間で保持されることを許可します。この機能を有効化するには、ユーザーがSign-In Widgetで［Stay signed in（サインインしたままにする）］を選択する必要があります。 ［Disable（無効化）］：セッションcookieがブラウザーセッション間で保持されることを許可しません。

［Create Rule（ルールを作成）］をクリックします。

永続的クッキーについて

グローバルセッションポリシーの永続的クッキーは、Okta APIのusePersistentcookieオプションを設定することによってのみ構成できます。「セッションと永続的シングルサインオン」を参照してください。

APIは、ブラウザーセッション間で持続するcookieを設定します。ユーザーがブラウザーを終了して再度ブラウザーを開いた場合、ユーザーがサインアウトしない限り、ブラウザーセッションは保持されます。
永続的cookieは、グローバルセッションポリシーの設定に従い、セッションが期限切れになるまで有効です。
Okta管理者に永続的cookieが設定されることはありません。

グローバルセッションポリシールールに関する注意事項

グローバルセッションポリシーは、セッション全体の有効期間を制御しますが、再認証の頻度は、認証ポリシールールによって制御されます。
エンドユーザーのセッションは、グローバルセッションポリシーの設定に従って期限切れになります。この時点で、サインイン時に［Stay signed in（サインインしたままにする）］オプションを選択したかどうかに関係なく、エンドユーザーは再認証する必要があります。
AND［Authenticates via（次で認証：）］の条件がLDAPに設定されている場合、AND ［Establish user session with（次でユーザーセッションを確立：）］の選択は無効になります。LDAPインターフェイスのバインドリクエストでは、MFA情報を含むユーザー名とパスワードが引き続き必要になる場合があります。「LDAPインターフェイスで多要素認証を使用する」を参照してください。

IF［User's IP is（ユーザーのIP）］：	ドロップダウンメニューを使用して場所のパラメーターを割り当てます。［Anywhere（すべての場所）］、［In zone（ゾーン内）］、［Not in zone（ゾーン外）］のうち、どの場合に認証を行うように促すかを指定します。［In zone（ゾーン内）］または［Not in zone（ゾーン外）］の場合は、すべてのゾーンを選択するか、個々のゾーンを指定できます。現在のゲートウェイ設定を表示するには、［Manage Configurations for Network（ネットワークの構成を管理）］をクリックします。新しくゾーンを追加する場合は、「ネットワークゾーンの構成」を参照してください。
AND［Identity provider is（IDプロバイダー：）］	このドロップダウンメニューを使用して、IDプロバイダーを指定します。［Any（すべて）］：IDプロバイダーとして［Okta］または［Specific IdP（特定のIdP）］のいずれかを使用する場合は、このオプションを選択します。［Okta］：IDプロバイダーとして［Okta］のみを使用する場合は、このオプションを選択します。［Specific IdP（特定のIdP）］：指定したIDプロバイダーを使用する場合は、このオプションを選択します。IDプロバイダーを選択するには、2番目のフィールドをクリックします。「ソーシャルログイン（IdP）を追加する」を参照してください。注：これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。
AND［Authenticates via（次で認証：）］	このドロップダウンメニューを使用して、必要な認証方法を指定します。
AND［Behavior is（行動：）］	行動タイプまたは名前付き行動を入力します。リスクの高い行動については、必ずMFA要件を［At every sign in（サインイン毎）］に設定してください。動作条件をper device（デバイスごと）またはper session（セッションごと）のMFA要件と組み合わせないでください。「動作タイプについて」を参照してください。
AND［Risk is（リスクレベル）］	［Low（低）］、［Medium（中）］、または［High（高）］のリスクレベルを選択します。［High（高）］を選択した場合は、必ずMFA要件を［At every sign in（サインイン毎）］に設定してください。高リスクレベルをdevice（デバイス）またはsession（セッション）のMFA要件と組み合わせないでください。「リスクスコアリング」を参照してください。
THEN［Access is（アクセスの可否）］	前のドロップダウンリストの認証フォームに基づき、このフォームを使用して条件がアクセスを許可または拒否するかを決定します。
［Establish the user session with（次を使用してユーザーセッションを確立：）］	ユーザーセッションを確立するためのオプションを選択します。［A password（パスワード）］：ユーザーセッションの確立のためにパスワードを必須とします。［Any factor used to meet the Authentication Policy requirements（認証ポリシーの要件を満たすために使用される任意の要素）］：ユーザーセッションの確立のために認証ポリシーに含まれるAuthenticatorを必須とします。ユーザーは、パスワードを使用せずにOktaにサインインすることもできます。「パスワードなしサインインエクスペリエンスをセットアップする」を参照してください。
［Multifactor authentication (MFA) is（多要素認証（MFA））］	多要素認証が必要かどうかを示します。「多要素認証」を参照してください。次の条件に注意してください。［Any factor used to meet the Authentication Policy requirements（認証ポリシーの要件を満たすために使用される任意の要素）］を選択し、そのポリシーがパスワードを必要とする場合、その要素はプライマリ要素と見なされます。秘密の質問などの知識ベースの要素は、セカンダリ要素にできません。秘密の質問をセカンダリ要素にするには、プライマリ要素が［A password（パスワード）］である必要があります。この組み合わせはMFA/SSOフローでのみ機能します。Oktaでは、認証フローでセキュリティ上の質問を使用しないことを推奨しています。
［Users will be prompted for MFA（ユーザーにMFA用のプロンプトを表示）］	このオプションは、［Multifactor authentication (MFA) is（多要素認証（MFA））］オプションで［Required（必須）］を選択すると表示されます。ユーザーに多要素認証の使用が求められる場合に、使用を求めるプロンプトがいつ表示されるかを示します。［At every sign in（サインイン毎）］：ユーザーは、OktaにサインインするたびにMFAを求められます。このオプションは、高リスクのサインインイベントを検出する行動条件での使用に適しています。［When signing in with a new device cookie（新しいデバイスcookieでサインインする場合）］：ユーザーが新しいデバイスを使ってサインインする場合、または既存のデバイスからcookieが削除される場合に、ユーザーはMFAを求められます。同一デバイスからサインインしているように見えればユーザーはMFAをバイパスできるため、このオプションは低リスクのユースケースのみで選択してください。行動条件では使用しないでください。［After MFA lifetime expires for the device cookie（デバイスcookieのMFAライフタイムが期限切れになった後）］：MFAライフタイム期間の期限切れ後にサインインを試みると、ユーザーはMFAを求められます。［MFA lifetime（MFAライフタイム）］は、新規セッションの作成時、またはユーザーがデバイスを変更した場合にのみ強制適用されます。［MFA lifetime（MFAライフタイム）］：このオプションは、［After MFA lifetime expires for the device cookie（デバイスcookieのMFAライフタイムが期限切れになった後）］を選択すると表示されます。右側のフィールドに数値を入力し、ドロップダウンリストから値を選択します（［Days（日）］、［Hours（時間）］、［Minutes（分）］）。
［Maximum Okta global session lifetime（Oktaグローバルセッションの最大ライフタイム）］	Oktaセッションライフタイムを構成します。［No time limit（時間制限なし）］：このオプションを選択すると、Oktaセッションに時間制限は適用されませんが、ユーザーセッションはアイドル時間に達すると期限切れになります。この設定は、低リスク、低保証のユースケースにのみ適切であり、動作条件またはリスク条件では使用しないでください。［Set time limit（時間制限を設定）］：Oktaセッションライフタイムに時間制限を設定します。右のフィールドに数値を入力し、ドロップダウンリストから値を選択します（［Days（日）］、［Hours（時間）］、［Minutes（分）］）。 Admin Consoleのセッションライフタイムは、このグローバル設定とは独立して設定できます。<MadCap:conditionalText data-mc-conditions="MultiProdPublish.OIE">「Admin Consoleセッションライフタイムを構成する」を参照してください。</MadCap:conditionalText>
［Maximum Okta global session lifetime（Oktaグローバルセッションの最大アイドル時間）］	Oktaセッションの最大ライフタイムに関係なく、Oktaセッションが自動的に期限切れになるまでのアイドル時間を構成します。右のフィールドに数値を入力し、ドロップダウンリストから値を選択します（［Days（日）］、［Hours（時間）］、［Minutes（分）］）。 Admin Consoleのタイムアウトは、このグローバル設定とは独立して設定できます。<MadCap:conditionalText data-mc-conditions="MultiProdPublish.OIE">「Admin Consoleセッションライフタイムを構成する」を参照してください。</MadCap:conditionalText>
［Persist session cookies across browser sessions（ブラウザーセッション間でOktaグローバルセッションcookieを保持）］	Okta APIで`usePersistentcookie`オプションを設定すると、このオプションが表示されます。「セッションと永続的シングルサインオン」を参照してください。ブラウザーセッション間でのセッションcookieの保持を有効化または無効化します。ドロップダウンリストからオプションを選択します。［Enable（有効化）］：セッションcookieがブラウザーセッション間で保持されることを許可します。この機能を有効化するには、ユーザーがSign-In Widgetで［Stay signed in（サインインしたままにする）］を選択する必要があります。［Disable（無効化）］：セッションcookieがブラウザーセッション間で保持されることを許可しません。

グローバルセッションポリシールールを追加する

永続的クッキーについて

グローバルセッションポリシールールに関する注意事項

関連項目