パスワードリセットとアカウント復旧

Okta Identity Engineにアップグレードしたら、パスワードリセットとアカウント復旧に対する変更について学習してください。

変更の概要Classic Engine
  • Okta Classic Engine

    • ユーザーは、メール、SMS、および電話要素を使用してパスワードをリセットできます。
    • ユーザーは、セキュリティに関する質問要素は追加の確認にのみ使用できます。
    • ユーザーは、認証のためにSMSに登録できますが、セルフサービスのパスワード復旧のためにSMSに登録することはできません。
  • Okta Identity Engine

    • パスワードリセットとアカウント復旧は、現在はセルフサービスのアカウント復旧と呼ばれます。

    • 復旧と認証に使用するオーセンティケーターの登録を統合します。

    • 単一のオーセンティケーター登録が復旧と認証の両方で機能します。

    • ユーザーは、メール、電話、またはOkta Verifyプッシュ通知オーセンティケーターを使用してパスワードをリセットできます。

    • ユーザーは、任意の登録済みオーセンティケーターを使用して追加の確認を提供できます。

管理者のエクスペリエンス

セルフサービスのアカウント復旧を構成するには、[Security(セキュリティ)] > [Authenticators(オーセンティケーター)] > [Password(パスワード)] > [Add Rule(ルールを追加)]に移動します。

  • [User can perform self-service(ユーザーは次をセルフサービスで実行可能)]セクションで、ユーザーに提供するセルフサービスオプション([Password change(パスワードの変更)][Password reset(パスワードリセット)]、または[Unlock account(アカウントロック解除)])を選択します。

  • [Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]セクションで、ユーザーが復旧を開始する方法([Okta Verify (Push notification only)(Okta Verify(プッシュ通知のみ))][Phone (SMS/Voice call)(電話(SMS/音声通話))]、または[Email(メール)])を選択します。

  • 必要な追加の確認のタイプ([Not required(任意)][Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用される任意の登録済みオーセンティケーター)]、または[Only Security Question(セキュリティに関する質問のみ)])を選択します。

パスワードポリシーでパスワードの変更が許可されていない場合、パスワードリセットを有効にすることはできません。

Okta Verify、電話、メール、セキュリティ上の質問のオーセンティケーターをパスワードポリシーで使用できるようにする場合は、それらを有効にしてください。Okta Verifyでプッシュ機能を復旧オプションとして有効にします。

後でオーセンティケーターを無効にする場合は、最初にパスワードポリシーから無効にする必要があります。

ユーザーエクスペリエンス

これらの機能強化により、ユーザーの登録プロセスが保護され、簡素化されます。

  • Okta Identity Engineではウェルカムウィザードを使用できません。ユーザーはOkta Sign-in Widgetで復旧要素に登録します。
  • Okta Identity Engineでは、LOCKED(ロック中)ステータスのユーザーはパスワードのリセットを実行できます。Okta Classic Engineでは、LOCKED(ロック中)ユーザーはSSPRを使用できません。
  • Okta Identity Engineでユーザーのパスワードリセットメールを開始すると、ユーザーはメール内のリンクからパスワードを直接リセットできます。Okta Classic Engineでユーザーのパスワードリセットメールを開始すると、ユーザーは最初にセキュリティ上の質問に回答する必要があります(パスワードポリシーで要求されている場合)。
  • パスワードポリシーで[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用される任意の登録済みオーセンティケーター)]オプションを有効にした場合、ユーザーはリセット要件を満たすために2つの異なるオーセンティケータータイプを必要とします。たとえば、ユーザーがOkta Verifyプッシュ通知を選択して開始する場合、予備の要素としてWebAuthnなどの別のオーセンティケーターを使用する必要があります。
  • Okta Classic EngineユーザーがMFAと復旧の両方でセキュリティ上の質問の要素に登録されている場合、Okta Identity Engineで認証するときにMFAの質問が表示されます。Okta Identity Engineでセルフサービスのパスワードリセットを試みると、復旧に関連する質問が表示されます。Okta Identity Engineで作成された新しいセキュリティ上の質問の登録では、認証と復旧で同じセキュリティ上の質問が使用されます。
  • パスワードポリシーで、メールまたはセキュリティ上の質問のオーセンティケーターが復旧で許可されている場合、ユーザーはこれらのオーセンティケーターの両方に登録する必要があります。パスワードポリシーで電話オーセンティケーターが復旧で許可されている場合、ユーザーは電話オーセンティケーターに登録する必要はありません。
  • 2つのポリシーで同じオーセンティケーターが要求される場合、ユーザーは1回登録するだけで済みます。
関連項目