メールAuthenticatorを構成する

メールAuthenticatorは所有要素であり、ユーザーの存在の要件を満たします。メールAuthenticatorを使用すると、ユーザーは自分のプライマリメールアドレスに送信されるワンタイムパスコード(OTP)またはメールマジックリンク(EML)で認証できます。ユーザーがメールにアクセスできることで、サインインを試みたユーザーが意図したユーザーであることが確認されます。

ユーザーのプライマリメールアドレスは、以下のシナリオにおける認証および復旧のためのAuthenticatorとして自動的に登録されます。

  • ユーザーがメールを所有していることを確認する(セルフサービス登録中など)。
  • ユーザーはメールを所有していることを証明する必要がない(管理者がユーザーアカウントを作成するときなど)。

メールAuthenticatorの自動登録をスキップできます。「メールを任意のAuthenticatorにする」を参照してください。

メールAuthenticatorを追加する

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [Setup(設定)]タブで[Add Authenticator(Authenticatorを追加)]をクリックします。

  3. [Email(メール)]タイルで[Add(追加)]をクリックします。

  4. 次のオプションを構成します。

    • [Email challenge lifetime (minutes)(メールチャレンジの有効期間(分))]フィールドで時間値を選択します。デフォルト値は5分です。有効期間は5分間隔で最大30分まで延長できます。ベストプラクティスは10分以内を選択することです。

      メールは常に安全なプロトコルで送信されるとは限りません。許可されていない第三者によって、暗号化されていないメッセージが傍受される可能性があります。より短いチャレンジの有効期間を割り当てると、このリスクを最小限に抑えることができます。

    • [This authenticator can be used for (このauthenticatorが使用できる場面)]フィールドには次の選択が表示されます。
      • [Authentication and recovery(認証と復旧)]:ユーザーはこのAuthenticatorを使用して認証したり、アカウントを復旧したりできます。
      • [Recovery in password policy rules(パスワードポリシールールの復旧)]:ユーザーはこのAuthenticatorを使用してアカウントを復旧きますが、認証することはできません。

  5. [Add(追加)]をクリックします。Authenticatorが[Setup(設定)]タブのリストに表示されます。

Authenticatorの登録ポリシーにメールを追加する

[Authenticator]で、[Enrollment(登録)]タブに移動し、新規または既存のAuthenticator登録ポリシーにAuthenticatorを追加します。「Authenticator登録ポリシーを作成する」を参照してください。

メールAuthenticatorを編集または削除する

Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

  1. [Authenticator]で、[Setup(設定)]タブに移動します。
  2. Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]または[Delete(削除)]を選択します。

メールマジックリンクを構成する

メールを使用して本人確認を行う場合、ユーザーはメールから使用するアプリケーションにOTPを手動でコピーするか、EMLをクリックします。ユーザーがEMLをクリックすると、OTPが自動的に送信されます。EMLは同じデバイスの同じブラウザーでのみ機能します。

EMLを構成するには、次の開発者向けドキュメントを参照してください。

エンドユーザーエクスペリエンス

ユーザーはメールAuthenticatorを使用してサインイン、パスワードのリセット、またはアカウントのロック解除を行うことができます。ユーザーがメールプロンプトを要求すると、OktaはユーザーのプライマリメールアドレスにEMLとOTPを送信します。ユーザーはEMLをクリックするか、手動でOTPを入力することができます。

EMLは同じデバイスの同じブラウザーでのみ機能します。別のブラウザーまたは別のデバイスでメールを開いた場合、ユーザーはメールを要求した元のブラウザーに戻り、OTPを手動で入力する必要があります。

その後、元のブラウザーの新しいタブでフローが続行します。新しいタブで、ユーザーは必要に応じて追加の検証を提供します。ユーザーは、検証が済んだら、タスクの完了に進みます。元のタブのセッションが終了します。

ユーザー検証が成功したら、ユーザーはジャーニーを続行します。

  • エンドユーザーがOktaにサインインすると、ブラウザーでEnd-User Dashboardが開きます。

  • 埋め込みのSign-In Widget からアプリにサインインすると、ユーザーは[Email Verification Experience(メール検証エクスペリエンス)]設定で指定されている場所にリダイレクトされます。「アプリ統合の設定を構成する」を参照してください。

  • パスワードをリセットする場合、新しいパスワードを設定したら、ユーザーは新しい資格情報を使用して同じタブでアカウントに自動的にサインインします。

  • アカウントのロックを解除する場合、ユーザーは同じタブでアプリケーションにサインインします。

ユーザーが設定されているチャレンジの有効期間内にプロンプトを完了しない場合は、新しいプロンプトを要求する必要があります。メールはユーザーのスパムフォルダーまたはジャンクフォルダーに入る場合があります。ユーザーの受信トレイにメールが表示されない場合は、ユーザーにこれらのフォルダを確認するよう伝えてください。

関連項目

多要素認証

認証