一般的なセキュリティー

管理コンソールでこれらの設定にアクセスするには、[セキュリティー] > [一般]に移動します。

セキュリティー通知メール

[セキュリティー] > [一般] > [セキュリティー通知メール]に移動して、エンド・ユーザー向けの通知メールを構成します。

登録に関する通知メール] エンド・ユーザーまたは管理者がアカウントの新しいに登録すると、エンド・ユーザーに確認メールが送信されます。

: 新規組織の場合、この機能はデフォルトで有効になっています。

詳細については、「

リセットに関する通知メール] エンド・ユーザーまたは管理者がアカウントのをリセットすると、エンド・ユーザーにメールが送信されます。

: 新規組織の場合、この機能はデフォルトで有効になっています。

詳細については、「」を参照してください。


[パスワードの変更に関する通知メール] エンド・ユーザーは、アカウントのパスワードを変更またはリセットすると、メール通知を受信します。このメールには、パスワード・リセットの日時や場所など、パスワード・リセットの詳細が含まれています。

注:

  • 管理者が一時パスワードを設定した場合、エンド・ユーザーは一時パスワードからパスワードを変更した後にのみメール通知を受信します。
  • 委任認証(DelAuth)を使用したパスワード・リセットのエンド・ユーザー通知はサポートされていません。
  • ユーザーが非アクティブの場合、エンド・ユーザーにメール通知は送信されません。

詳細については、「エンド・ユーザーへのパスワードの変更通知」を参照してください。

[メールによる不審なアクティビティーのレポート] 不審なアクティビティーのレポートでは、アカウントのアクティビティー・メール通知から未認識のアクティビティーをレポートするオプションをエンド・ユーザーに提供します。「不審なアクティビティーのレポート」を参照してください。

新規サインオンに関する通知メール

新しいサインオンの通知メールは、などのほかのセキュリティー機能を補完するものであり、代替として機能させるべきではありません。ほとんどのシナリオでクライアントは簡単かつ正確に識別されますが、いくつかの制限があります。

新しいデバイスのサインインに関する通知メールは、エンド・ユーザーのブラウザーのCookieまたはフィンガープリントに基づいて新しいクライアントが識別されるとトリガーされます。

次の1つ以上のシナリオでは、クライアントは新規と見なされます。

  • 新しいオペレーティング・システムのタイプまたはバージョン
  • 新規または更新されたアプリケーション
  • 認識されないブラウザーまたはオペレーティング・システム(通知メールでは不明と表示されます)

認証が認識されない場合、エンド・ユーザーはすぐに管理者に連絡してアカウントのアクティビティーを調査する必要があります。管理者は、ユーザーのセッションの終了、ユーザーのアカウントのロック、の追加などのアクションを実行して、セキュリティーを向上させることができます。

制限事項

識別において課題となる制限事項がいくつかあります。新しいIPアドレスや新しい場所などのほかの識別子に加えてメール通知を有効にすると、エンド・ユーザーのアカウントで不審なアクティビティーを特定する際の精度が向上します。

新規クライアントを識別するための現在の制限事項は次のとおりです。

  • サインインに成功すると、デバイスのフィンガープリントがキャプチャされます。
  • ユーザーのオペレーティング・システムまたはブラウザーに変更があると、新しいデバイス通知が生成される場合があります。
  • Okta以外のIDプロバイダーによって開始されたサインインでは、新しいデバイス通知は生成されません。
  • デバイスのフィンガープリントは、使用しているブラウザーに基づきます。エンド・ユーザーは、新しいブラウザー・タイプでサインインすると、新しいデバイス通知メールを受信します。
  • モバイル・サインインの場合、新しいデバイス通知メールは、サインインに使用されたデバイスではなく、新しいモバイル・アプリケーションの検出に基づいて送信されます。
  • 新しいデバイスの検出は常に完全に保証されるわけではありません。
  • エンド・ユーザーは、40日以内にアカウントにサインインしなかった場合、予期しない新規または不明なデバイス通知メールを受信することがあります。

エンド・ユーザー通知の詳細については、メール・テンプレートをカスタマイズするを参照してください。

組織の設定

[セキュリティー] > [一般] > [組織]に移動して、グローバルな組織設定を構成します。

アクティベーション・メールは以下に有効: エンド・ユーザーに送信されるアカウント・アクティベーション・メールのリンクの有効期限を設定します。メール通知の詳細については、メール・テンプレートをカスタマイズするを参照してください。

ユーザーによる列挙の防止

この機能を有効にすると、ユーザー・アカウントを特定してオーセンティケーターを登録しようとする攻撃者から組織を保護できます。組織で認証が許可されている場合は、デバイスから新しいサインインを試行するたびにパスワードとメールが表示されるようになります。

ユーザーが存在しないかサインインできない場合は、オーセンティケーター検証エラーが送信されます。

Oktaへのエンド・ユーザーのサインイン試行の詳細については、「新規ユーザーの登録、アクティベーション、およびサインインのエクスペリエンス」を参照してください。

Okta ThreatInsight

Okta ThreatInsightはOkta顧客ベース全体のデータを集約し、このデータを使用して、認証情報ベースの攻撃を試みる悪意のあるIPアドレスを検出します。

悪用を防ぐため、Okta ThreatInsightは無料の試用版では機能を制限して動作しています。完全な機能を搭載したOkta ThreatInsightが必要な場合は、Oktaサポートまでご連絡ください。

この機能の詳細については、「Okta ThreatInsight」を参照してください。

関連項目

Oktaのサインオン・ポリシー

HealthInsight