セルフサービスのアカウント復旧
セルフサービスのアカウント復旧を使用すると、アクティブなエンドユーザーが管理サポートに問い合わせずにOktaパスワードをリセットしたり、アカウントのロックを解除したりできるようになります。
セルフサービスのアカウント復旧は、パスワードポリシーのルールを通じて構成できます。
はじめに
この手順を開始する前に、アカウントの復旧に使用するすべてのAuthenticatorを有効にしてください。また、ユーザーが復旧以外のシナリオに使用できるAuthenticatorを、可能な限り多く有効にします。追加するこれらのAuthenticatorは、復旧シナリオに使用するものと同じであってはなりません。
セルフサービスのアカウント復旧の構成
- Admin Consoleで、 に移動します。
- [Password(パスワード)]行で、 をクリックします。
- 既存のパスワード・ポリシーで、[Add Rule(ルールを追加)]をクリックするか、既存のルールを編集します。
-
必要に応じて次のオプションを構成します:
- IF[User’s IP is(ユーザーのIPの場所)]:[すべての場所]、[ゾーン内]、[ゾーン外]のうち、ユーザーのIPがどこに位置している場合にルールを呼び出すかを指定します。
- THEN[User can perform self-service(ユーザーは次をセルフサービスで実行可能)]:
- [Password change (from account settings)(パスワード変更(アカウント設定から))]:ユーザーは、パスワードと別の要素(登録されている場合)を使用して認証するとパスワードを変更できるようになります。
- [Password reset(パスワードリセット)]:ユーザーは、復旧設定で構成されている任意のAuthenticatorを使って検証することで、忘れたパスワードをリセットできます。
- [Unlock account(アカウントロック解除)]:ユーザーは、復旧設定で構成されている任意のAuthenticatorを使用して検証することで、アカウントのロックを解除できます。
- AND[Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]:
- Okta Verify(プッシュ通知のみ)
- 電話(SMS /通話)
- メール
- AND[Additional verification is(追加の検証に関する設定)]:
- [Not required(不要)]:ユーザーが第2要素を使用して認証を行う必要はありません。
- [Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みAuthenticator)]:ユーザーは、MFA Authenticator(Okta Verify、メール、電話、セキュリティキー)を第2要素として使用し、認証する必要があります。
- [Only Security Question(セキュリティ質問のみ)]:ユーザーは、第2要素として使用するセキュリティ質問に回答する必要があります。
追加の検証を提供するために、復旧の開始に選択したものと同じAuthenticatorを使用することはできません。AND[Additional verification is(追加の検証に関する設定)]オプションで選択するAuthenticatorは、AND[Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]オプションで選択するAuthenticatorとは異なることを確認します。
また、Oktaは復旧の開始用に選択するAuthenticatorのほかに、可能な限り多くのAuthenticatorに登録するようにユーザーに求めることを推奨します。復旧開始用に選択するAuthenticatorにしかユーザーが登録できないようにすると、サインインなど、復旧以外の状況でユーザーは自分の認証にAuthenticatorを使用できなくなります。可能な限り多くのAuthenticatorに登録するようにユーザーに求めることで、ユーザーは復旧と復旧以外の両方の状況でAuthenticator常に使用できるようになります。これらのAuthenticatorはAuthenticator登録ポリシーで必須として構成し、アクティブ化した復旧以外のすべてのAuthenticatorにユーザーが登録するように要求します。
-
パスワードポリシールールを作成または更新して、変更内容を保存します。
推奨される構成
一部の構成では、アカウントの回復を開始するときにユーザーが認証できなくなる可能性があります。復旧の開始用に選択したものと同じAuthenticatorを、追加の検証を提供するために使用することはできません。詳細については、「セルフサービスのアカウントの復旧の構成」を参照してください。次の表に、避けるべき構成の例、説明、代わりの推奨される構成を示します。
避けるべき構成 |
理由 |
代わりに使用する構成 |
---|---|---|
Okta Admin Consoleで、 に移動し、メールAuthenticatorおよび電話Authenticatorの[Actions(アクション)]と[Edit(編集)]を選択して、[Used for(用途)]の設定を表示します。
Okta Admin Consoleで、 に移動し、[Password(パスワード)]行の をクリックします。調べるルールの鉛筆アイコンをクリックします。
|
ユーザーがアカウント復旧を試みると、復旧を開始するために[Email(メール)]オプションと[Phone(電話)]オプションが表示されます。[Email(メール)]は[認証]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Phone(電話)]を選択した場合、二次検証を完了できません。 |
|
Admin Consoleで、 に移動します。
Okta Admin Consoleで、 に移動し、[Password(パスワード)]行の をクリックします。調べるルールの鉛筆アイコンをクリックします。
|
ユーザーがアカウント復旧を試みると、復旧を開始するために[Email(メール)]オプションと[Okta Verify]オプションが表示されます。[Email(メール)]は[認証]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Okta Verify]を選択した場合、二次検証を完了できません。 |
|
Okta Admin Consoleで、 に移動し、メールAuthenticatorおよび電話Authenticatorの[Actions(アクション)]と[Edit(編集)]を選択して、[Used for(用途)]の設定を表示します。
Okta Admin Consoleで、 に移動し、[Password(パスワード)]行の をクリックします。調べるルールの鉛筆アイコンをクリックします。
|
ユーザーは、この構成の回復プロセスを開始できません。登録ポリシーで必須に設定されていないため、Okta Verifyまたは電話に登録するよう求められません。 |
電話、Okta Verify、またはその両方を使用して復旧を開始するには、登録ポリシーの一部としてこれらのAuthenticatorが[Required(必須)]に設定されていることを確認してください。 |
Admin Consoleで、 に移動します。
Okta Admin Consoleで、 に移動し、[Password(パスワード)]行の をクリックします。調べるルールの鉛筆アイコンをクリックします。
|
ユーザーがアカウント復旧を試みると、復旧を開始するために[Phone(電話)]オプションと[Okta Verify]オプションが表示されます。[Phone(電話)]は[認証]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Okta Verify]を選択した場合、二次検証を完了できません。 |
|
Okta Admin Consoleで、 に移動し、[Email(メール)]Authenticatorおよび[Phone(電話)]Authenticatorの を選択して、[Used for(用途)]の設定を表示します。
Okta Admin Consoleで、 に移動し、[Password(パスワード)]行の をクリックします。調べるルールの鉛筆アイコンをクリックします。
|
ユーザーがアカウント復旧を試みると、復旧を開始するために[Okta Verify]、[Email(メール)]、[Phone(電話)]オプションが表示されます。[Email(メール)]と[Phone(電話)]は[認証]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Okta Verify]を選択した場合、二次検証を完了できません。 |
|
- メールと電話は、パスワードのリセットやアカウントのロック解除を行うためにオフにすることが可能なMFA Authenticatorです。
- 追加の検証手順としてセキュリティ質問を有効にすることもできます。「MFA Authenticatorについて」を参照してください。
- LDAPをソースとするOktaユーザーアカウントに対してロック解除オプションを選択すると、Oktaでユーザーアカウントをロック解除しても、オンプレミスLDAPインスタンスではロックされたままになります。
- [Security(セキュリティ)][Authenticators]ページの[Enrollment(登録)]タブで、すべてのAuthenticatorを[Optional(任意)]に設定しないでください。メール以外のAuthenticatorを少なくとも2つ[Required(必須)]に設定してください。
- 日常的な認証に選択したAuthenticatorを復旧に使用しないでください。
- 追加の検証を構成するには、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みAuthenticator)]オプションを使用します。 に移動し、[Password(パスワード)]の をクリックします。パスワードポリシールールで、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用される任意の登録済みAuthenticator)] オプションを選択します。
関連項目
Okta Verify Authenticatorの構成