pikesaku’s blog

個人的な勉強メモです。記載内容について一切の責任は持ちません。

Oktaメモ

Provision users to Office 365 | Okta

サインイン画面オプション動作確認

Okta Signon Policy
Configure an Okta sign-on policy | Okta

以下設定の場合 ※カッコ内はデフォルト値
Prompt Mode: Per Session
Factor LifeTime: 2分 (15分)
Session LifeTime: 3分 (2時間)

このコンピューターに登録する

"このコンピューターに登録する"にチェックをつけた場合、以下動作となる。
1. サインイン画面にブラウザでアクセス
2. ユーザー名、パスワード入力 & "このコンピューターに登録する"にチェックし、"サインイン"をクリック

3. サインアウト
4. サインイン画面に戻るが、ユーザー名に2で入力した値がセットされた状態になる。また"このコンピューターに登録する"もチェックが付いた状態になる。
5. ブラウザ閉じる。
6. サインイン画面にブラウザでアクセス
7. ユーザー名に2で入力した値がセットされた状態になる。また"このコンピューターに登録する"もチェックが付いた状態になる。
8. ブラウザでCookie & キャッシュを削除
9. サインイン画面にブラウザでアクセス
10. ユーザー名のフィールドは空に戻る。また"このコンピューターに登録する"もチェックが外れた状態になる。

f:id:pikesaku:20210508101638p:plain

次のXX分間このデバイスではメッセージを表示しない

  • XXは"Factor LifeTime"の値になる。
  • チェックをつけてサインインすると、XX分以内であれば、再サインイン時にMFA不要でサインインできる。

1. サインイン画面にブラウザでアクセス
2. ユーザー名、パスワード入力 & "このコンピューターに登録する"にチェックせず、"サインイン"をクリック
3. OktaVerify画面でOTP入力し、"次の2分間このデバイスではメッセージを表示しない"をチェックせず、"確認"をクリックしサインイン
3. サインアウト
4.2を実施後2分以内に再サインインする。("このコンピューターに登録する"にチェックせず。)
5. OktaVerify不要でサインインできる。

f:id:pikesaku:20210508140209p:plain

Session LifeTimeの動き

  • 無通信セッションタイムアウト
  • サインイン実施後、操作をせずSession LifeTimeで指定した時間が経過すると、操作実施時に再サインインが要求される。
  • サインイン実施後、操作を続ければ、Session LifeTimeで指定した時間が過ぎても、再サインインは不要

各パラメタのオンラインヘルプ説明

f:id:pikesaku:20210508144903p:plain

少なくとも1つの因子タイプが有効になっている場合にのみ使用可能として表示されます。
このボックスを選択すると、プロンプトがデバイスごと、サインオンごと、または指定したセッション時間ごとにトリガーされるかどうかを決定するラジオボタンも表示されます。毎回選択しても、エンドユーザーはMFAプロンプトを制御できません。これらのオプションのユーザーエクスペリエンスの詳細については、MFAプロンプトのエンドユーザーコントロールを参照してください。
 
 

f:id:pikesaku:20210508145104p:plain

このドロップダウンメニューを使用して、ユーザーがMFAを要求されるまでに経過する必要がある時間を指定します。デフォルトの有効期間は15分で、最大期間は6か月です。ファクターライフタイムの設定は、エンドユーザーがファクターライフタイムに記載されている時間だけサインアウトする方法であり、次回のサインイン時にMFAで再度認証する必要はありません。エンドユーザーはチェックボックスをオンにして、設定が必要であることを確認する必要があります。適用されます。例として、次の15分間はこのデバイスでチャレンジしないでください。この場合、サインアウト後、新しいサインインがMFAでの最後のサインインから15分以内であれば、MFAプロンプトは表示されません。ユーザーがチェックボックスをオンにしない場合、ユーザーは常にMFAの入力を求められます。最後にサインインしてからの時間は、ダッシュボードの下部に表示されます。ただし、エンドユーザーは、更新された値を表示するために画面を更新する必要があります。
 
 

f:id:pikesaku:20210508145356p:plain

Google翻訳

このドロップダウンメニューを使用して、認証プロンプトがトリガーされるまでの最大アイドル時間を指定します。このオプションの最大許容時間は90日です。これは合計接続時間ではありません。デフォルトのセッション存続時間は2時間です。これは、残りのセッション時間の5分マークでユーザーにカウントダウンタイマーが表示されるまでのアイドル時間です。
 
 

f:id:pikesaku:20210508145505p:plain

以下に示すように、[ファクターのプロンプト]チェックボックスをオンにすると、特定のセッションでエンドユーザーにMFAのプロンプトを表示する方法に影響を与える3つのオプションが表示されます。

これらのオプションのうち2つは、エンドユーザーがこれらのプロンプトを制御できるようにしますが、1つは許可しません。

バイスごと:エンドユーザーのMFAチャレンジダイアログボックスで、[このデバイスで再度チャレンジしない]オプションを提供します。このオプションでは、新しいデバイスのプロンプトのみが許可されます。
毎回:エンドユーザーはOktaにサインインするたびにプロンプ​​トが表示され、要素の提供を求められたときに影響を与えることはできません。
セッションごと:エンドユーザーのMFAチャレンジダイアログボックスで、このデバイスで次の(分/時間/日)チャレンジしないというオプションを提供します。付随するFactorLifetimeフィールドでFactorLifetimeを指定します。セッションごとに指定する場合、セッションには構成されたデフォルトの有効期間がありますが、ユーザーがOktaセッションからサインアウトするたびにセッションは常に終了することに注意してください。