グローバルセッションポリシーの評価
ポリシーが特定のユーザーに適用されるかどうかを判断するために、Oktaはポリシーとそのルールの条件を評価します。
- ポリシーには、同じセキュリティ特性を持つアプリや、同じアカウント設定要件を持つユーザーグループなど、同様の扱いが必要なリソースのグループが含まれます。
- ルールは、ある地理的なロケーションからの要求や、信頼できるネットワークにユーザーが接続しているかどうかなど、ポリシーの動作の条件を記述します。すべてのポリシーには少なくとも1つのルールが含まれます。
異なるシナリオに合わせて条件の組み合わせを作成できます。ベストプラクティスとして、限定的なルールを[Priority(優先度)]リストの最上位に配置します。ポリシーに含めることができるルールの数に制限はありません。
ポリシーを作成して「Admins」というグループに割り当てるのであれば、管理者のニーズに関連する条件をカスタマイズできます。たとえば、管理者が企業ネットワークの内部からサインインするか外部からサインインするかなど、特定の条件の下でのみセルフサービスのロック解除を許可できます。
システムログイベント
認証の問題の特定と解決に役立つ次のSystem Logイベントを利用できます。
policy.evaluate_sign_on
- このイベントは、ユーザーの認証試行のステータス(成功または失敗)を返します。使用されたAuthenticatorのタイプやインスタンスなど、Authenticatorの登録情報が提供されます。
- このイベントは、ユーザーがコードを入力したとき、またはプッシュ通知に応答したときにアクティブ化されます。コードまたはプッシュ通知が送信されてもアクティブ化されません。「多要素認証」を参照してください。
user.authentication.auth_via_mfa
- このイベントは、ユーザーがアクセスしたアプリケーションや一致したポリシールールなど、グローバルセッションポリシーまたは認証ポリシーの評価情報を返します。認証シーケンス中に、サインオンポリシーの評価は複数回行われる場合があります。
- このイベントには、Allow、Deny、Challengeの各値を指定できます。Challengeは、追加のユーザー認証が必要であったことを示します。
user.session.start
- このイベントは、IDプロバイダーセッションの確立に関連するユーザーの最初のAuthenticator検証試行のステータスを返します。ユーザーが誤ったAuthenticatorを入力すると、
VERIFICATION_ERRORが返されます。 - このイベントは、プライマリ認証チャレンジが提供された後にトリガーされます。ログには、ユーザーID、セッション開始時刻、使用された認証方法が記録されます。アクセストークンが付与されたことは示されません。
詳細については、「System Log」を参照してください。
備考
- グローバルセッションポリシーは、セッション全体の有効期間を制御しますが、再認証の頻度は認証ポリシーによって制御されます。
- エンドユーザーのセッションの有効期限は、グローバルセッションポリシーの[Maximum Okta global session idle time(Oktaグローバルセッションの最大アイドル時間)]設定に従います。この時間が経過すると、サインイン時に[Keep me signed in(サインインしたままにする)]オプションを選択したかどうかに関係なく、ユーザーは認証ポリシールールに従って再認証する必要があります