Authenticator登録ポリシーを作成する

Authenticator登録ポリシーを作成し、エンドユーザーがAuthenticatorにいつどのように登録するかを管理します。Authenticator、ユーザーグループ、状況に対応するポリシーを作成できます。

開始する前に

ユーザーがサインインに使用するAuthenticatorを構成します。少なくとも1つのAuthenticatorを認証(MFA/SSO)用に有効にする必要があります。構成するAuthenticatorは、orgのサインオンポリシーのセキュリティ要件を満たす必要があります。多要素認証を参照してください。

ポリシーで猶予期間を使用するには、Sign-In Widget をバージョン7.28にアップグレードしてください。

ポリシーを作成する

  1. Admin Consoleで、セキュリティ(Security) > Authenticatorに移動します。

    登録(Enrollment)タブを開きます。

  2. ポリシーを追加(Add a Policy)をクリックします。
  3. ポリシー名(Policy name)およびポリシーの説明(Policy description)を入力します。
  4. グループに割り当てる(Assign to groups)で、このポリシーを適用するユーザーグループを1つ以上入力します。
  5. 構成したAuthenticatorごとに、登録が任意(Optional)必須(Required)、または無効(Disabled)かを指定します。
    • 少なくとも1つのAuthenticatorを必須(Required)にする必要があります。
    • 別のポリシーでAuthenticatorが必須になっている場合、そのAuthenticatorに無効(Disabled)は使用できません。
  6. 必須Authenticatorに猶予期間(Grace period)を設定します。

    • なし(None):ユーザーは初めてサインインときに登録を求められます。

    • End date(終了日):ユーザーがAuthenticatorの登録を延期できなくなる日付を設定します。この日付まで、ユーザーは1日に1回、登録を求められます。

    • スキップ回数(Skip count)(早期アクセス):Authenticatorが必須になるまでに、ユーザーが登録をスキップできる回数を示します。この回数に達するまで、ユーザーは1日1回、登録を求められます。

  7. ポリシーを作成(Create policy)をクリックします。ポリシーが登録(Enrollment)タブに表示され、アクティブ(Active)に設定されます。

ポリシーを編集する

  1. ポリシーを非アクティブ化するには、アクティブ(Active)ドロップダウンメニューをクリックし、非アクティブ化(Deactivate)を選択します。非アクティブなポリシーはどのユーザーにも適用されません。

  2. ポリシーを更新するには、ポリシーの編集(Edit)ボタンをクリックします。変更を加えてポリシーを更新(Update policy)をクリックします。注(Note):猶予期間を終了日(End date)からスキップ回数(Skip count)に変更すると、カウンターがリセットされます。すでにスキップ回数を使用していた場合に、回数を変更すると、ユーザーがすでに登録をスキップした回数は保持されます。たとえば、スキップを3回から2回に変更し、ユーザーがすでに1回スキップしている場合、残りは1回となります。

  3. ポリシーを削除するには、ポリシーの削除(Delete)ボタンをクリックします。ポリシーを削除すると、そのポリシーは復旧できません。デフォルトのポリシーは削除できません。

  4. ポリシーの優先順位を付け直すには、リストのポリシーを目的のレベルにドラッグアンドドロップします。

ユーザーエクスペリエンス

ユーザーがOktaまたはOktaで保護されたアプリにアクセスする際に必須となるAuthenticatorを登録していない場合、Sign-In Widget によって登録の完了を求められます。その後、ユーザーは任意のAuthenticatorを登録するよう求められ、登録せずに続行するオプションが表示されます。無効化されたAuthenticatorは、ユーザーがそのAuthenticatorを登録していた場合でも、サインイン時にユーザーには表示されません。

猶予期間とアプリ・サインイン・ポリシー

必須のAuthenticatorに猶予期間を構成した場合、ターゲットアプリのアプリ・サインイン・ポリシーを満たすユーザーは、猶予期間が終了するまで登録せずにアプリを使い続けることができます。ターゲットアプリのアプリ・サインイン・ポリシーを満たさないユーザーは、必須のAuthenticatorをすぐに登録する必要があります。

アプリのアプリ・サインイン・ポリシーでユーザーにサインイン前にAuthenticatorの登録を求めている場合、その猶予期間は無視されます。

Okta Sign-In Widget

必須のAuthenticatorの表示が、第2世代と第3世代のSign-In Widgetでは多少異なります。

  • 第2世代では、必須のAuthenticatorがすべて1つのリストで表示されます。続行(Continue)オプションは、まだ猶予期間中のユーザーにのみ表示されます。

  • 第3世代では、ユーザーは現在必須のAuthenticatorのリストと、まだ猶予期間にあるAuthenticatorの別のリスト(続行(Continue)オプションあり)を確認できます。すべてのAuthenticatorがまだ猶予期間にある場合、ユーザーには後で通知(Remind me later)オプションのあるリストが1つ表示されます。

制限事項

セルフサービス登録のメール確認では、猶予期間はサポートされません。セルフサービス登録にメール確認を使用する場合、このAuthenticatorに猶予期間を設定しないでください。

次の手順

Authenticator登録ポリシーのルールを構成する