メール認証(MFA)
メール認証要素を使用すると、ユーザーはメールマジックリンクをクリックするか、6桁のコードをワンタイムパスワード(OTP)として使用して、自身を認証できます。Oktaは、これらの認証方式をユーザーのプライマリメールアドレスにメールメッセージで送信します。これは、サインインしようとしているユーザーが意図したユーザーであることを確認する場合に便利です。ユーザーがチャレンジの有効期間内にメールマジックリンクをクリックせず、OTPを使用していない場合、ユーザーは認証されません。
この方式では簡単な方法でユーザーを認証できますが、メール認証要素を実装する場合には考慮すべき事項がいくつかあります。
- メールは常に安全なプロトコルで送信されるわけではありません。許可されていない第三者によって、暗号化されていないメッセージが傍受される可能性があります。このようなリスクを減らすため、メールマジックリンクとOTPコードに割り当てるチャレンジの有効期間を短くすることを検討してください。
- メールメッセージは、ユーザーの迷惑メールフォルダに届く場合があります。メール認証メッセージが届かない場合は、このフォルダを確認するようにユーザーに通知してください。
- メールメッセージは、ネットワークの問題によって遅延する可能性があります。チャレンジの有効期間が過ぎた後にメール認証メッセージが届いた場合、ユーザーは別のメール認証メッセージをリクエストする必要があります。
また、メールをアカウント復旧の手段として使用し、セキュリティトークンの有効期限を設定することもできます。
メール認証要素をアクティベートする
- 管理コンソールで、[Security(セキュリティ)]>[Multifactor(多要素)]に移動します。
- [Factor Types(要素タイプ)]タブで、[Email Authentication(メール認証)]を選択します。
- [Inactive(非アクティブ)]をクリックし、[Activate(アクティベート)]を選択します。
メール認証要素の構成
- 管理コンソールで、[Security(セキュリティ)]>[Multifactor(多要素)]に移動します。
- [Factor Types(要素タイプ)]タブで、[Email Authentication(メール認証)]を選択します。
- [Email Authentication Settings(メール認証設定)]の横にある[Edit(編集)]をクリックします。
- [Email OTP token lifetime (minutes)(メールOTPトークンの有効期間(分))]ドロップダウンから、メールマジックリンクとOTPを有効にしておく期間を選択します。
デフォルトの値は5分ですが、5分単位で最大30分まで延長できます。一般的に受け入れられているベストプラクティスは10分以内です。エンドユーザーは、期限切れのマジックリンクをクリックした場合、再度サインインする必要があります。
この値は、認証に使用されるメールに加えて、セルフサービスによるパスワードのリセットとセルフサービスによるアカウントのロック解除のメールにも適用されます。
- [Save(保存)]をクリックします。
- [Factor Enrollment(要素の登録)]タブをクリックします。「MFA登録ポリシーを構成する」を参照し、MFA登録ポリシーの作成とMFA登録ポリシールールの追加の手順に従います。
MFA登録ポリシーで対象要素としてメール認証要素が [Required(必須)] に設定されている場合、そのポリシーで指定されたエンドユーザーは、ユーザー プロファイルに記載されたプライマリメールアドレスを使用して自動的に登録されます。