Oktaアカウント管理ポリシー
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
Oktaアカウント管理ポリシーでは、ユーザーが鑑別工具に登録または登録解除するとき、パスワードを復旧するとき、およびアカウントをロック解除するときの認証要件を定義します。そのルールベースのフレームワークにより、オンボーディングから認証および復旧までのユーザージャーニー全体を通じてフィッシング耐性を強制適用できます。
仕組み
他の認証ポリシーと同様に、Oktaアカウント管理ポリシーにはキャッチオールルールが含まれており、ルールを追加してキャッチオールよりも優先することで、独自の要件を設定します。ただし、このポリシーはいくつかの重要な点で異なっています。名前や説明などの基本的なプロパティは読み取り専用です。このポリシーは削除できません(このポリシーの使用を停止する場合は、機能を無効にする必要があります)。そして何よりも、このポリシーはアプリに割り当てられません。このポリシーはアカウント管理アクションにのみ適用されます。
キャッチオールルールは2つの要素にアクセスできるようにして、プロファイルの編集を制御します。鑑別工具の登録と登録解除、パスワードの回復やアカウントのロック解除など、他のアカウント管理アクションを制御するルールもさらに追加することができます。プロファイルの編集を制御する他のいかなるルールよりも、これらのアカウント管理ルールを優先することが重要です。
キャッチオール(と他のプロファイルの編集を制御するルール)の優先度を最低にしておくと、確実に鑑別工具特定の処理によって先にユーザーが評価されます。また、ユーザーのプロファイルで利用可能な鑑別工具のアクションも制御することができます。たとえば、ユーザーがパスワードのリセットに関する要件を満たさない場合には、セキュリティ方式の設定で[Reset(リセット)]オプションが無効になります。
メリット
-
新規ユーザーは最初の日にフィッシング耐性のあるAuthenticatorに登録できます。
-
セルフサービスによるパスワードの復旧とアカウントのロック解除の制御をOktaアカウント管理ポリシーに移すことで、最も脆弱なユーザープロセスにフィッシング耐性を組み込むことができます。
-
認証ポリシーの構造では、従来セルフサービスアクションの管理に使用されてきたパスワードポリシーよりもきめ細かいカスタマイズが可能です。
ポリシーの構成
Oktaアカウント管理ポリシーには3つの主要なユースケースがあります。ユースケースごとに1つのルールがポリシーに追加されます。そのため、不要なユースケースはスキップできます。ただし、orgがフィッシング耐性のあるAuthenticatorをまだ使用していない場合は、最初にフィッシング耐性のあるAuthenticatorを登録してください。
最初のフィッシング耐性のあるAuthenticatorを登録する