こんにちは!たつみんです。
Oktaのポリシーをマスターしよう!シリーズ記事のPassword Policy編です。
この記事ではPassword Policyにおいてポリシーやルールでどのような構成が行えるかやどのような役割を持っているかなどを解説します。
Oktaのポリシーをマスターしよう!のシリーズ目次
- 概要編
- Password Policy編←今日のブログはここ!
- Global Session Policy編
- Authenticator Enrollment Policy編
- Authentication Policies編
- Device Assurance Policies編(過去の検証ブログ)
概要編のおさらい
以下は概要編のおさらいです。
- Device Assurance Policy以外のポリシーの中にはルールが存在する
- ルールの中にはIF(AND)とTHENが存在する
- ポリシーの適用はグループ単位やアプリケーション単位やOSプラットフォーム単位がある
Password Policyとは
一言で言ってしまうとパスワード要件やパスワードリカバリについて設定します。
主に以下の観点を定義します
- パスワードの複雑さ
- パスワードの有効期限
- パスワードのロックアウト
- ユーザーによるパスワード変更、リセットなど
Password Policyの適用範囲について
まずPassword Policyの設定はAuthenticators>PasswordのEditから行うことができます。
ポリシーを新しく作成する時は以下のようにグループを指定します。
また以下のように複数のポリシーがある場合は上から順番に参照されます。
- Policy A
- 対象グループ:Group A
- Policy B
- 対象グループ:Group B
もし、あるユーザーがGroup AとGroup Bの両方に所属している場合は、より上位に位置するPolicy Aが参照されます。この順番はドラッグ&ドロップで並び替えすることができます。ただしDefult Policyは対象グループがEveryoneに固定され、優先順位も常に最下層に位置します。
推奨設定
Defult Policyの更新
Defult PolicyのEditをクリックし、以下の設定とします。
- Minimum lengthを8charactersとする
- Complexity requirementsはすべてオフとし、複雑性を求めない
- Common password checkをオンとし、よく使われるパスワードを登録させない
- Password ageはすべてオフとし、パスワードの定期変更を求めない
- Lock outはLock out user after 100 unsuccessful attemptsとする
上記3.はUniversal Directoryライセンス保有時のみ表示され設定が可能となります。
パスワード要件部分はNIST SP800-63Bを参考に構成しています。MFAを利用する前提のため基本的にはパスワードに複雑性や定期変更を求めない設定とします。
Ruleの追加
ユーザーによるパスワード変更だけを許可するために以下の方法でRuleを追加します。
- Add ruleをクリックする
- Rule nameを設定する
- Users can perorm self-serviceでPassword changeにのみチェックを入れる
Users can perform self-serviceの3項目について
Password change (from account settings)
ユーザーが正常にOktaにログインした後にOkta Dashboardから自分自身でパスワードを変更する場合を指します。
Password reset
ユーザーがOktaログイン画面でパスワードがわからない場合に自分自身でリセットをする場合を指します。
Unlock account
ユーザーが設定した回数以上に連続してパスワード入力を間違えてロックアウトされた時に自分自身でアンロックする場合を指します。
パスワードレス認証であるOkta FastPassの利用を推進することで3項目のうちPassword change以外はニーズが少なくなります。そのため推奨設定ではPassword reset,Unlock accountについては無効としています。
Password reset,Unlock accountを有効化する場合
どちらかを有効にした場合はRecovery authenticatorsの設定として以下の2箇所の設定が必要となります。
- Users can initiate recovery withでどのような認証を操作をスタートするか
- Additional verification isで追加の認証を求めるか
Users can initiate recovery withで無効な選択肢はAuthenticatorsで有効化されていないためです。
Additional verification isでAny enrolled authenticator used for MFA/SSOを選択した場合、ユーザーに対してEmail以外の2つのAuthenticatorの登録必須にする必要があります。
まとめ
Password Policyはパスワード要件を決めたり、ユーザーが自分自身で行えることを決めることができるという点で馴染み深いポリシーだったと思います。しかし、Oktaではパスワードレスの仕組みがあるため、Password Policyは以前より簡略化できる部分が多くあると思います。
今回のブログ記事でお伝えしたいことは以上です。
