ファーストパーティアプリのアプリサインインポリシーを変更する

すべてのorgには、 Okta Admin Console、Okta End-User Dashboard、Okta Browser Pluginという、変更可能なプリセットポリシーを含むファーストパーティアプリがあります。

Okta End-User DashboardまたはOkta Browser Pluginのポリシーを共有するには、アプリをアプリ・サインイン・ポリシーに割り当てるを参照してください。Admin Consoleのポリシーの共有または切り替えはできません。
Oktaのアプリポリシーにルールを追加するには、アプリ・サインイン・ポリシー・ルールを追加するを参照してください。
Oktaのアプリポリシーを編集するには、アプリ・サインイン・ポリシーを更新するを参照してください。または、次の一般的なユースケースを参照してください。

Admin Consoleの再認可頻度を構成する

管理者がAdmin Consoleにアクセスするたびに多要素認証（MFA）を使って再認証する必要がある、より制限の厳しいポリシーを作成します。デフォルトでは、このポリシーでは管理者にMFAが要求されますが、グローバルセッションポリシーですでにMFAが要求されている場合、管理者に2回目のプロンプトは表示されません。

注:

Okta Admin Consoleで毎回再認証することをお勧めします。

Admin Consoleでセキュリティ（Security） > 認証ポリシーに移動します。
アプリのサインイン（App sign-in）をクリックします。
Okta Admin Consoleアプリを選択します。
ルール（Rules）タブでルールを追加（Add rule）をクリックします。
ルール名（Rule name）を入力します（MFA once per dayなど）。
次のルール条件を設定します。
- IFセクションでこれらのオプションを選択し、ドロップダウンメニューの下に表示されるフィールドに管理者グループの名前を入力します。
  - ユーザーのグループメンバーシップ：（User's group membership includes）
  - 次のグループのうち少なくとも1つ（At least one of the following groups）
- このルールをデバイスまたはゾーンで制限するには、次のセクションを変更します。
  - デバイスの状態（Device state）
  - デバイス保証ポリシー：（Device assurance policy is）
  - デバイスプラットフォーム：（Device platform is）
  - ユーザーのIP（User's IP is）セクション
- 認証を求めるタイミング（When to prompt for authentication）セクションで、認証のためのプロンプト（Prompt for authentication）のオプションを選択し、頻度を選択します。
保存（Save）をクリックします。
ルール（Rules）タブで、新しいルールの優先度が最も高いことを検証します。

Admin Consoleセッションライフタイムを構成する

早期アクセスリリース

注:

この構成はOkta Admin Consoleにのみ影響します。その他のOktaアプリケーションの管理セッションは影響を受けません。

これには、Okta Workflows、Okta Access Gateway、Advanced Server Accessが含まれます。

Okta Admin Consoleのセッションライフタイムとアイドル時間は変更できます。これらの設定は、グローバルセッションポリシーの構成とは独立しています。グローバルセッションポリシールールを追加するを参照してください。

Admin Consoleで、アプリケーション（Applications） > アプリケーション（Applications）に移動します。
Okta Admin Consoleをクリックします。
サインオン（Sign On）タブで、Okta Admin Consoleセッション（Edit）セクションの編集（Edit）（Okta Admin Console session）をクリックします。
アプリセッションの最大ライフタイム（Maximum app session lifetime）を時間または分で設定します。

アメリカ国立標準技術研究所（NIST）のガイダンスに基づいて12時間に設定することを推奨します。最大許容時間は24時間で、最小許容時間は1分です。

注:
セッションの最大ライフタイムは構成されているアイドル時間以上でなければなりません。
アプリセッションの最大アイドル時間（Maximum app session lifetime）（Maximum app session idle time）を時間または分で設定します。

アメリカ国立標準技術研究所（NIST）のガイダンスに基づいて15分に設定することを推奨します。最大許容時間は2時間で、最小許容時間は1分です。

10分を超える設定の場合は、タイムアウトしてから5分以内に時間をリセットするためのリンクがあるポップアップが表示されます。10分以下の設定の場合は、タイムアウトしてから30秒以内にポップアップが表示されます。

注:
アイドル時間の期限は、Admin Console内での操作に基づいてリセットされます。
保存（Save）をクリックします。

Admin Consoleアプリ・サインイン・ポリシーにAuthenticatorを追加する

早期アクセスリリース。セルフサービス機能を有効にするを参照してください。

Admin Consoleを保護するには、2つ以上のAuthenticatorの使用を管理者に求める必要があります。この要件を満たすために、既存のルールがユーザーに1つのAuthenticatorによる本人確認のみを求める場合、より多くのAuthenticatorの使用を義務づけることが必要になる場合があります。

Admin Consoleでセキュリティ（Security） > 認証ポリシーに移動します。
アプリのサインイン（App sign-in）をクリックします。
Okta Admin Consoleアプリを選択します。
ルール（Rules）タブでルールを追加（Add rule）をクリックします。
ルール名（Rule name）を入力します（MFA for Admin Consoleなど）。
IFセクションに次のルール条件を構成します。
- ユーザーのユーザータイプ（User's user type is）：任意。次のいずれかのユーザータイプ（One of the following user types）を選択し、表示されるフィールドにユーザータイプ（管理者（admins）、など）を入力します。
- ユーザーのグループメンバーシップ（User's group membership includes）：任意。次のグループのうち少なくとも1つ：（At least one of the following groups）を選択し、表示されるフィールドに管理者グループの名前を入力します。
- 必要なその他のIF条件を構成します。
THENセクションに次のルール条件を構成します。
- ユーザーが使用する認証方法（User must authenticate with）：パスワード/IdP+別の要素（Password / IdP + Another factor）または任意の2要素タイプ（Any 2 factor types）を選択します。
- 必要なその他のTHEN条件を構成します。
保存（Save）をクリックします。

特定のグループのOkta Dashboardを無効にする

別のダッシュボードまたはアプリを使用するorg内のユーザーのアクセスを無効にできます。

Admin Consoleでセキュリティ（Security） > 認証ポリシーに移動します。
アプリのサインイン（App sign-in）をクリックします。
Okta End-User Dashboard アプリを選択します。
ルール（Rules）タブで、ルールを追加（Add rule）をクリックします。
ルール名（Rule name）を入力します（Disable Access to Dashboard for Groupsなど）。
次のルール条件を設定します。
- IFセクションで新しいルールの対象となるユーザーを指定します。
- THENセクションでアクセスの可否（Access is）オプションを拒否（Denied）に設定します。