サインインフロー
サインインフローのシーケンスは、グローバルセッションポリシーとアプリサインインポリシーで設定した認証要件によって異なります。グローバルセッションポリシーは、org内のすべてのアプリを対象にアクセスをグローバルに定義し、アプリサインインポリシーは、要求されたアプリのコンテキストでユーザー認証を強制適用します。
ユーザーのロケーションとプロファイルは、ポリシーのグループメンバーシップと認証基準の両方を使用して検証されます。パスワードレスでのサインインがユーザーに許可されている場合、Oktaはサインインエクスペリエンスの最適化を試みます。デバイスがOkta Verifyに登録されていて、生体認証Authenticatorが有効になっている場合、ユーザー認証に使用される最初の要素は必ず生体認証Authenticatorです。
ユーザーがパスワードを使用してサインインすることが求められる場合、必ずパスワード先行プロンプトが表示されます。これは、パスワードAuthenticatorが他のAuthenticatorとともに定義されているアプリサインインポリシー構成に当てはまります。
パスワード/IDP
グローバルセッションポリシールールのいずれかでプライマリ要素がパスワード/IDP(Password / IDP)に設定されている場合、パスワード先行のSign-In Widget がユーザーに表示されます。
-
ユーザーはドメインを含む完全なアプリのユーザー名(Username)を入力し、パスワード(Password)フィールドに自分のパスワードを入力します。複数のID EA機能を有効にした場合、ユーザーはユーザー名ではなく、構成済みのいずれかのIDを入力できます。
サインインしたままにする(Keep me signed in)チェックボックスをオンにすると、グローバルセッションポリシールールで指定された期間にわたってIDとAuthenticatorの検証情報がデバイスに保持されます。
-
ユーザーはサインイン(Sign in)をクリックして、認証プロセスを開始します。
-
セキュリティ方式ページで、ユーザーはグローバルセッションポリシーとアプリサインインポリシーの両方で許可されるプライマリAuthenticatorオプションを1つ選択します。
-
選択(Select)をクリックしてAuthenticatorを選択すると、ユーザーは検証ステップに移動します。このステップでは、必要なAuthenticatorを入力して検証(Verify)をクリックします。
IdPユーザーには、Oktaにリダイレクトされたときにサインインしたままにする(Stay signed in)とサインインしたままにしない(Don't stay signed in)の両オプションも表示されます。選択すると、次回のサインイン時にオプションは非表示になります。
パスワード/IDP/アプリのサインオンルールで許可された任意の要素
グローバルセッションポリシールールのいずれかでプライマリ要素がパスワード/IDP/アプリのサインオンルールで許可された任意の要素(Password / IDP / any factor allowed by app sign on rules)に設定されている場合、identifier firstのSign-In Widget がアクセスフローの最初の画面としてエンドユーザーに表示されます。
-
ユーザーはドメインを含む完全なアプリのユーザー名(Username)を入力し、次へ(Next)をクリックします。複数のID EA機能を有効にした場合、ユーザーはユーザー名ではなく、構成済みのいずれかのIDを入力できます。
サインインしたままにする(Keep me signed in)チェックボックスをオンにすると、グローバルセッションポリシールールで指定された期間にわたって、識別子とAuthenticatorの検証情報がデバイスに保持されます。
-
セキュリティ方式ページで、ユーザーはグローバルセッションポリシーとアプリサインインポリシーの両方で許可されるプライマリAuthenticatorオプションを1つ選択します。
-
選択(Select)をクリックしてAuthenticatorを選択すると、ユーザーは検証ステップに移動します。このステップでは、必要なAuthenticatorを入力して検証(Verify)をクリックします。
IdPユーザーには、Oktaにリダイレクトされたときにサインインしたままにする(Stay signed in)とサインインしたままにしない(Don't stay signed in)の両オプションも表示されます。選択すると、次回のサインイン時にオプションは非表示になります。
関連項目