Okta Sign-on Policy:よくある設定ミスとベストプラクティス
Nov 19, 2025
Single Sign-On
Okta Classic Engine
Multi-Factor Authentication
Okta Identity Engine
Overview
この記事では、Okta Sign-on Policy、グローバルセッションポリシーの設定方法、よくある設定ミス、ベストプラクティスについて詳しく説明します。
Applies To
  • Sign-on Policy
  • グローバルセッションポリシー
Solution

Oktaのポリシーエンジンは非常に強力で、管理者はセッション時間や要素のライフタイムから認証要件(要素)やユーザー、ネットワーク、デバイスコンテキストの評価まで、あらゆる設定が可能です。 

Oktaは定期的にお客様のOkta Sign-on Policyの使用状況を見直し、ポリシーの結果と競合する可能性のあるルール(管理者が実現しようとしていることと矛盾するように見えるポリシー)の組み合わせを確認しています。

以下に、よく見られる課題をいくつかご紹介します。

動作条件を評価し、モードが[Per Device(デバイスごと)]のOkta Sign-on Policy

このポリシールールは動作条件を評価し、[Per Device(デバイスごと)]に要素を求めるよう設定されています。このオプション名は[新しいデバイスのCookieでサインインするとき]に変更されました。

Okta Sign-on Policy

ポリシールールをこのように設定すると、ユーザーは特定のデバイスから初めてサインオンするときにのみ、多要素認証を求められます。ブラウザーのクッキーを削除しない限り、それ以降にそのデバイスからサインオンする際にMFAチャレンジが表示されることはありません。

推奨事項:セキュリティポスチャを最大限に強化するため、[Users will be prompted for the MFA(ユーザーにMFAを求める)]の下にある[サインインごと]を選択するように設定を更新することを検討してください。

Okta Sign-on Policy


リスク条件(中または高)を評価し、モードが[Per Device(デバイスごと)]のOkta Sign-on Policy

このポリシールールはリスク条件を評価し、[Per Device(デバイスごと)]に要素を求めるよう設定されています(このオプション名は[新しいデバイスのCookieでサインインするとき]に変更されました)。

ポリシールール

ポリシールールをこのように設定すると、ユーザーは特定のデバイスから初めてサインオンするときにのみ、多要素認証を求められます。それ以降にそのデバイスからサインオンする際にMFAチャレンジが表示されることはありません。

この例では、管理者がリスク条件を評価するポリシーを使用して、異常な、またはリスクの高いサインオン動作に対処しようとしたと考えられます。しかし、この設定ではMFAの要件が緩和されすぎています。 

推奨事項:セキュリティポスチャを最大限に強化するため、[Users will be prompted for the MFA(ユーザーにMFAを求める)]の下にある[サインインごと]を選択するように設定を更新することを検討してください。

ポリシールール

モードが[Per Session(セッションごと)]で、要素のライフタイムが短く、セッションの有効期間が長いOkta Sign-on Policy

このポリシールールは、セッション期間中に1回だけMFAチャレンジを完了するようユーザーに促します。[MFA/Factor Lifetime(MFA/要素のライフタイム)]の有効期限が切れても、ユーザーは再認証を求められないことがあります。

これは、ユーザーが新しいセッションを作成したときにのみ、[MFA/Factor Lifetime(MFA/要素のライフタイム)]が適用されるためです。[MFA/Factor Lifetime(MFA/要素のライフタイム)]の有効期限が切れた後にユーザーがサインインしようとした場合に多要素認証を求められるかどうかは、[MFA/Factor Lifetime(MFA/要素のライフタイム)]の設定によって決まります。これは通常、MFAの要件を緩和するために使用されます。具体的には、ユーザーがサインアウトした後、指定されたMFA/要素のライフタイム内に再度サインインを試みる場合が想定されています。 

たとえば、[MFA/Factor Lifetime(MFA/要素のライフタイム)]の期間が30日間に設定され、セッションライフタイムが12時間に設定されている場合、ユーザーは12時間後にサインアウトされますが、MFA要素の有効期限が30日後に切れるまでは、次回ログイン時にMFAを強制されることはありません。 

推奨事項:管理者がユーザーに対してより頻繁にMFAを表示したい場合は、以下の方法のいずれかまたは両方を使用することをお勧めします。

  1. セッションの有効期間を短く設定し、[Users will be prompted for the MFA(ユーザーにMFAを求める)]の下にある[サインインごと]を選択します。これにより、Oktaのセッションの有効期限が切れてからユーザーが再度サインインしようとすると、MFAを要求されるようになります。

設定

  1. [アプリサインオンポリシー](Okta Classic)または[認証ポリシー](Okta Identity Engine)を使用して、ユーザーが特定のアプリケーションにアクセスしようとするたびに追加のMFAチャレンジを要求します。

認証ポリシー


関連資料

Recommended content

No recommended content found...
Still looking for help?