ファーストパーティーアプリの認証ポリシーを変更する

すべてのorgには、 Okta Admin ConsoleOkta End-User DashboardOkta Browser Pluginという、変更可能なプリセットポリシーを含むファーストパーティーアプリがあります。

Admin Consoleの再認証頻度を構成する

Admin Consoleのポリシーを編集する一般的なユースケースは、管理者がOkta Admin ConsoleにアクセスするたびにMFAを使用して再認証する必要がある、より制限の厳しいポリシーを作成することです。デフォルトでは、このポリシーでは管理者にMFAが要求されますが、グローバルセッションポリシーですでにMFAが要求されている場合、管理者に2回目のプロンプトは表示されません。

Okta Admin Consoleで毎回再認証することを推奨します。

  1. Admin Consoleで、[Security(セキュリティ)][Authentication Policies(認証ポリシー)]に移動します。

  2. Okta Admin Consoleアプリを選択します。

  3. [Rules(ルール)]タブで、[Add Rule(ルールを追加)]をクリックします。

  4. ルール名を入力します(MFA once per dayなど)。

  5. 次のルール条件を設定します。

    • [IF]セクションで、[The following users and groups(次のユーザーとグループ)]を選択し、[Admin(管理者)]グループを追加します。

    • このルールをゾーンまたはデバイスで制限する場合は、[Location(ロケーション)]フィールドと[Client(クライアント)]フィールドを変更します。

    • [Access(アクセス)]セクションで、[prompt for factor(要素を求める)]を選択し、頻度を選択します。

  6. [Save(保存)]をクリックします。

  7. [Sign On(サインオン)]タブで、新しいルールの優先度が最も高いことを検証します。

Admin Consoleセッションライフタイムを構成する

早期アクセスリリース

この構成はOkta Admin Consoleにのみ影響します。その他のOktaアプリケーション

Okta WorkflowsOkta Access GatewayAdvanced Server Accessなど)の管理セッションは影響を受けません。

Okta Admin Consoleのセッションライフタイムとアイドル時間を設定できます。<MadCap:conditionalText data-mc-conditions="MultiProdPublish.OIE">これらの設定は、グローバルセッションポリシーので構成された設定とは無関係です。「グローバルセッションポリシールールを追加する」を参照してください。</MadCap:conditionalText>

  1. Admin Consoleで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  2. [Okta Admin Console]をクリックします。

  3. [Sign On(サインオン)]タブで、[Okta Admin Console session(Okta Admin Consoleセッション)]セクションの[Edit(編集)]をクリックします。

  4. [Maximum app session lifetime(アプリセッションの最大ライフタイム)]を時間または分で設定します。

    アメリカ国立標準技術研究所(NIST)のガイダンスに基づいて12時間に設定することを推奨します。最大許容時間は24時間で、最小許容時間は1分です。

    セッションの最大ライフタイムは構成されているアイドル時間以上でなければなりません。

  5. [Maximum app session lifetime(アプリセッションの最大アイドル時間)]を時間または分で設定します。

    アメリカ国立標準技術研究所(NIST)のガイダンスに基づいて15分に設定することを推奨します。最大許容時間は2時間で、最小許容時間は1分です。

    10分を超える設定の場合は、タイムアウトしてから5分以内に時間をリセットするためのリンクがあるポップアップが表示されます。10分以下の設定の場合は、タイムアウトしてから30秒以内にポップアップが表示されます。

    アイドル時間の期限は、Admin Console内での操作に基づいてリセットされます。

  6. [Save(保存)]をクリックします。

特定のグループのOkta Dashboardを無効にする

Okta Dashboardポリシーを編集する一般的なユースケースは、別のダッシュボードまたはアプリケーションを使用するorg内のユーザーのアクセスを無効にすることです。

  1. Admin Consoleで、[Security(セキュリティ)][Authentication Policies(認証ポリシー)]に移動します。

  2. Okta End-User Dashboardアプリを選択します。

  3. [Rules(ルール)]タブで、[Add Rule(ルールを追加)]をクリックします。

  4. ルール名を入力します(Disable Access to Dashboard for Groupsなど)。

  5. 次のルール条件を設定します。

    • IFセクションで、新しいルールの対象となるユーザーを指定します。

    • THENセクションで、[Access is(アクセスの可否)]オプションを[Denied(拒否)]に設定します。

関連項目

認証ポリシールールを追加する

認証ポリシーをアップデートする

認証ポリシーにアプリを追加する