メール・オーセンティケーターの構成
メール・オーセンティケーターを使用すると、ユーザーはメール・マジック・リンクをクリックするか、6桁のコードをワンタイム・パスワード(OTP)として使用して、自分自身を認証できます。これらは、ユーザーのプライマリ電子メールアドレス(および利用可能な場合はセカンダリアドレス)に電子メールメッセージで送信されます。これは、サインインしようとしているユーザーが本当に意図したユーザーであることを確認するのに役立ちます。チャレンジの有効期間内にメール・マジック・リンクがクリックされない、またはOTPが使用されない場合、ユーザーは認証されません。
この方式は、ユーザーが認証するための簡単な方法を提供しますが、メール・オーセンティケーターを実装する場合に注意する必要がある考慮事項がいくつかあります。
- メールは常に安全なプロトコルで送信されるわけではなく、メッセージは暗号化されていない場合、許可されていない第三者によって傍受される可能性があります。このような露出を減らすため、メール・マジック・リンクとOTPに割り当てるチャレンジの有効期間を短くすることを検討してください。
- メール・メッセージは、ユーザーの迷惑メール・フォルダーに届く可能性があります。メール認証メッセージが届かない場合は、このフォルダを確認するようにユーザーに通知することを検討してください。
- メール・メッセージは、ネットワークの問題によって遅延する可能性があります。チャレンジの有効期間が過ぎた後にメール認証メッセージが届いた場合、ユーザーは別のメール認証メッセージを要求する必要があります。
このオーセンティケーターは、アカウント復旧にのみ使用するか、認証とアカウント復旧の両方に使用するように構成できます。復旧オプションを選択した場合、サインオン・ポリシーの評価中に認証が要求されることはありません。
メール・オーセンティケーターの追加
- 管理コンソールで、[セキュリティー] > に移動します [オーセンティケーター]
- [設定]タブで、[オーセンティケーターを追加]をクリックします。
- [メール]タイルで[追加]をクリックします。
- 任意:デフォルトのメール・チャレンジの有効期間(分)を変更します。
デフォルトの有効期間は5分です。有効期間は5分単位で最大30分まで延長できます。一般的に受け入れられているベスト・プラクティスは10分以内です。期限切れのマジック・リンクをクリックすると、エンド・ユーザーは再度サインインするように求められます。
- エンド・ユーザーがメール・オーセンティケーターを使用できるシナリオを選択します:
- 認証および
- 復元
[追加]をクリックします。
エンド・ユーザー・エクスペリエンス
エンド・ユーザーがサインインするか、パスワードのリセットまたはアカウント・ロック解除を試みると、そのエンド・ユーザーに対してメール・マジック・リンクとワンタイム・パスワード(OTP)・コードを含むメール・メッセージが送信されます。
ユーザーが同一のブラウザー・セッションでリンクをクリックすると、新しいタブの[同意]ページに移動し、リクエストしたことを確認するよう求められます。リクエストを確定すると、元のタブに戻って続行するよう求められます。
パスワード・リセットまたはアカウント復旧で、ユーザーが別のブラウザー・セッション(または別のデバイス)でリンクをクリックすると、リンクをクリックした新しいブラウザーのタブに[同意]ページが表示されます。同意が得られると、元のセッションの[サインイン]タブに戻るように求められます。
現在の制限
- 認証に使用されるメールは常にユーザーのメインのメール・アドレスに送信されます。
- ユーザーがOktaエンド・ユーザー・ダッシュボードとOktaエンド・ユーザー設定ページを使用している場合は、ユーザー・プロファイルで[メインのメール・アドレス]属性を読み取り専用にします。ユーザー・プロファイルでユーザーのメインのメール・アドレスを変更すると、そのユーザーは自動的に新しいメール・オーセンティケーターに登録され、追加の確認は不要で新しいメール・アドレスにメールが送信されるようになります。