LoginSignup
0
0
Oktaに関するアウトプットAdvent Calendar 2023Day 10
@mtbRck(めた)

Okta - Admin Console Session Time

Last updated at Posted at 2023-12-09

はじめに

今回は2024/01/08に全テナントにリリースされる予定の管理コンソールのセッション時間について記載していきたいと思います。
この機能は2023/11/01に一度リリースされた後いったんロールバックされており、改めてリリースされてきました。
改めて挙動など確認していきたいと思います。

※本来は別の記事を予約していましたが、直近で影響大きいので先に投稿してみました。

機能の展開スケジュール

プレビュー環境と本番環境で以下の通りスケジュールが異なります。

  • プレビュー環境
    • 2023/11/29 Early Access
    • 2024/01/04 Generally Available
  • 本番環境
    • 2023/12/04 Early Access
    • 2024/01/08 Generally Available

細かいことが気になるようであれば、テナントのPrimary ITとして登録されている宛先に以下のようなメールが届いているかと思うのでそちらを参照してください。

  • 件名
    • Okta Tech Comm Notification | Improving Your Security Posture – Admin Session Authentication
  • 内容(一部省略)
    • image.png

EA機能の有効化

Settings > Features > Early access > Admin Console Session Management をONにします。
image.png

初期値

機能を有効化すると Okta Admin Console アプリの Sign On タブに以下の設定項目が追加されます。
こちらが初期値です。

image.png

各項目の違いは以下の通りです。

Maximum app session life time

管理コンソールに最後にログインしてからの経過時間です。
初期値ではログイン後、12時間経過するとセッションが切断されて再度ログインを求められます。

Maximum app session idle time

管理コンソールにログインしてから無操作での放置を許可する時間です。
初期値では無操作で15分経過するとセッションが切断されて再度ログインを求められます。

設定値の変更

設定画面のEditから時間を変更することができます。
各項目の設定可能な時間範囲は以下の通りです。

  • Maximum app session life time
    • 最小値: 1分
      • 設定は可能ですが1分は短すぎるので止めておきましょう。
    • 最大値: 24時間
  • Maximum app session idle time
    • 最小値:1分
    • 最大値:2時間

また、life time >= idle time の関係になるように設定する必要があります。
この関係を満たさない場合、Saveすることができません。

セッションアウトした場合の挙動

セッション時間を初期値(15分)のまま挙動を確認してみます。
最後に操作してから10分経過した時点で以下の警告が表示されました。

image.png

Keep me signed in を選択すると再度15分から計測になるようです。
何もせずに放置します。
残り時間がゼロになった時点で以下が表示されて管理コンソールからサインアウトされました。

image.png

Sign in を選択するとAdmin Consoleに再度ログインでき、直前までアクセスしていたページが再度開かれました。

気になったことなど

  • 再ログインする際にMFAは求められませんでした。
    • 今回の検証環境では、DashboardとAdmin Consoleで同じ設定値のAuthentication Policyを使用していました。
    • この場合、Dashboard側のセッションが残っているため、再度MFAを求められるということはないようです。
    • これは、強制サインアウトされてから再ログインする際は、あくまでAdimin ConsoleのAuthentication Policyのみ評価されるためではないかと思います。
    • 再ログイン時のログを確認しましたが、Admin consoleへのサインオンポリシーの評価ログしか記録されていませんでした。
  • 管理者のエンドユーザーダッシュボードアクセス
    • 11月時点では管理コンソールが強制サインアウトされると、エンドユーザーダッシュボードからもサインアウトされていました。
    • 今回のリリースではエンドユーザーダッシュボードからはサインアウトされることがなくなったようなので安心しました。
  • 動作を検証するときは設定値を変更後、一度再ログインしましょう。
    • 再ログインせずに検証していたら、強制サインアウトされなかったり、サインアウトされるまでの時間がおかしかったりしました。
    • 設定値を変更したら一度Oktaからサインアウト->再度サインインすることをお勧めします。

おわりに

idle timeの推奨値は15分ですが、15分って結構短いですよね。
ちょっと話しかけられて相談に乗っている間に割と過ぎてしまいそうです。
ということで、今回は直近でリリースされる予定の機能について記載してみました。
ありがとうございました。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0