秘密の質問(MFA)
秘密の質問要素では、エンドユーザーは質問候補リストから選択した質問の正しい回答を入力するように求められます。
秘密の質問要素:
この要素は認証(MFA/SSO)とユーザーのパスワード復旧シナリオをサポートしています(有効な場合)。MFA/SSO向けにこの要素を無効にした場合、Oktaサインオンポリシーはそれを評価しません。
Oktaでは、どの認証フローでもセキュリティ上の質問を使用しないことを推奨しています。
秘密の質問を要素として追加する
- 管理コンソールで、[Security(セキュリティ)]>[Multifactor(多要素)]に移動します。
- [Factor Types(要素タイプ)] タブで、[Security Question(秘密の質問)]をクリックします。
- [Inactive(非アクティブ)]をクリックし、[Activate(アクティベート)]を選択します。
- MFA登録ポリシーを構成します。手順については、「MFA登録ポリシーを構成する」を参照してください。
秘密の質問要素を無効にする
秘密の質問要素を無効にする場合は、事前に要素が記載されているMFA登録ポリシーまたはセルフサービスパスワードリセットポリシーから要素を削除する必要があります。
- 管理コンソールで、[Security(セキュリティ)]>[Multifactor(多要素)]に移動します。
- [Factor Enrollment(要素登録)]タブを選択し、秘密の質問要素が記載されているポリシーを選択します。
- [Edit(編集)]をクリックします。
- 秘密の質問要素に対して、ドロップダウンから[Disabled(無効化)]を選択します。
- [Update policy(ポリシーを更新)]をクリックします。
エンドユーザーエクスペリエンス
この要素を有効化した後でユーザーがサインインすると、[Extra verification is required for your account(このアカウントは追加の認証が必要です)]というページが表示されます。ユーザーは次の手順の実行する必要があります。
- Okta End-User Dashboardで、自分の名前をクリックし、[Settings(設定)]を選択します。
- [Extra Verification(追加認証)]セクションで、秘密の質問の横にある[Set up(セットアップ)]をクリックします。場合によっては、再度認証する必要があります。
- [Set up multifactor authentication(多要素認証のセットアップ)]画面で [Setup(セットアップ)]をクリックします。
- ドロップダウンから質問を選択し、[Answer(回答)]フィールドに回答を入力します。
- [Save(保存)]をクリックします。
管理者がサインオンポリシーに構成した要件によっては、次回ユーザーがサインインしたときに秘密の質問に回答するように求められる場合があります。
ガイドライン
秘密の質問では、以下のすべてのガイドラインに従う必要があります。
- 秘密の質問への回答は4文字以上にする必要があります。グループパスワードポリシーの復旧フローでより長い文字列を指定することもできます。
- 秘密の質問の回答にユーザーのパスワードやユーザー名を使用することはできません。
- 秘密の質問の回答を質問に含めることはできません。