サインインしたままにする
[Stay signed in(サインインしたままにする)]を使用すると、ユーザーはブラウザーを閉じて開き直した後も継続するOktaセッションを確立できます。サインインしたままにすることを選択したユーザーは、グローバルセッションポリシー定められた時間、MFAを再度求められることはありません。
このオプションをユーザーに提供する方法は2つあります。デフォルトでは、ユーザーが資格情報を入力するときにSign-In Widget に表示されます。ユーザーが認証した後にプロンプトが表示されるように構成することもできます。この構成は、代理認証またはIDプロバイダーを使用しているorgに適しています。このようなorgのユーザーは、Sign-In Widget の資格情報入力ページをバイパスする可能性があるからです。
[Stay signed in(サインインしたままにする)]は、プライベートデバイスまたはネットワークを使用するユーザーに推奨されます。資格情報が侵害された可能性があると疑っているユーザーは、アカウント設定ですべてのセッションを終了できます。
はじめに
任意。ユーザーをブラウザーセッションにまたがってサインインしたままにする場合は、usePersistentCookieオプションを有効にします。「セッションと永続的シングルサインオン」を参照してください。
機能を構成する
- Admin Consoleで、 の順に進みます。
- [Organizational Security(組織のセキュリティ)]セクションで[Edit(編集)]をクリックします。
-
このオプションをサインイン ウィジェットにのみ表示するには、この機能を有効にしてから[Before users sign in(ユーザーがサインインする前)]を選択します。これはデフォルト設定です。
-
このオプションをサインイン ウィジェットに加えて、ユーザーが認証した後も表示するには、この機能を有効にしてから[Before and after users signed in(ユーザーがサインインする前後)]を選択します。このオプションは、代理認証またはIDプロバイダーを使用しているorgに推奨されます。
-
[Stay signed in(サインインしたままにする)]オプションを非表示にするには、[Not Enabled(有効にしない)]を選択します。
-
[Save(保存)]をクリックします。
ポリシーを変更する
グローバルセッションポリシーと認証ポリシーのルールを[Stay signed in(サインインしたままにする)]機能に必ず対応させてください。
-
グルーバルセッションポリシーを作成するか、 グルーバルセッションポリシーを編集します。
-
次のルール条件を設定します。
-
[Multifactor authentication (MFA) is(多要素認証(MFA))]:必要
-
[Users will be prompted for MFA(ユーザーにMFA用のプロンプトを表示)]:[When signing in with a new device cookie(新しいデバイスCookieでサインインする場合)]または[After MFA lifetime expires for the device cookie(デバイスCookieのMFAのライフタイムが期限切れになった後)]を選択します。
-
[Okta global session cookies persist across browser sessions(ブラウザーセッション間でOktaグローバルセッションCookieを保持)]:APIでusePersistentCookieを有効にした場合は、このオプションを有効にします。
-
-
[Stay signed in(サインインしたままにする)]機能をアプリに拡張するには、その認証ポリシーを更新します。
-
次のルール条件を設定します。
-
[User must authenticate with(ユーザーが使用する認証方法)]:[2 factor types(2要素タイプ)](いずれかのオプション)を選択します。
-
[Prompt for authentication(認証のためのプロンプト)]:[When an Okta global session doesn't exist(Oktaグローバルセッションが存在しない場合)]を選択します。
-
ユーザーエクスペリエンス
標準認証フローでは、ユーザーはSign-In Widget にユーザー名を入力した後に[Keep me signed in(サインインしたままにする)]を選択してから、MFAオプションを指定して認証を完了します。ユーザーはorgに次回アクセスしたときにMFAを求められません。
統合認証フローでは、orgのサインインページにアクセスしたユーザーは、[Keep me signed in(サインインしたままにする)]を選択する前にIDプロバイダーにリダイレクトされる場合があります。[Before and after users sign in(ユーザーがサインインする前後)]オプションを有効にした場合、これらのユーザーは、Oktaに再度リダイレクトされたときに[Stay signed in(サインインしたままにする)]または[Don't stay signed in(サインインしたままにしない)]を選択するよう求められます。選択すると、次回のサインイン時にオプションは非表示になります。
[Stay signed in(サインインしたままにする)]オプションがアクティブになっている場合、ユーザーがセッションからサインアウトする方法は1つしかありません。ユーザーは、アカウント設定メニューに移動して を選択することで、すべてのセッション(現在のセッションを含む)を手動でサインアウトできます。このアクションを実行すると、セッションのusePersistentCookieも無効になります(設定されていた場合)。ユーザーがorgに次回アクセスしたときには、[Stay signed in(サインインしたままにする)]オプションが表示されます。