セルフサービスのアカウント復旧

セルフサービスのアカウント復旧を使用すると、アクティブなエンドユーザーが管理サポートに問い合わせずにOktaパスワードをリセットしたり、アカウントのロックを解除したりできるようになります。

セルフサービスのアカウント復旧は、パスワードポリシーのルールを通じて構成できます。または、ユーザーがこれらのアクションを実行するときにフィッシング耐性のあるAuthenticatorを必須とする場合は、「Oktaアカウント管理ポリシー」を参照してください。

開始する前に

  • アカウントの復旧に使用するすべてのAuthenticatorを有効にします。
  • アカウントの復旧にOkta Verifyを使用するときは、[Push notification(プッシュ通知)]オプションを有効にします。
  • 復旧以外のシナリオで使用する追加のAuthenticatorを有効にします。これは、復旧のシナリオで使用されるAuthenticatorとは異なる必要があります。復旧用のAuthenticatorを再利用して追加の検証を提供することはできません。
  • Authenticator登録ポリシーで、メール以外のAuthenticatorを少なくとも2つ[Required(必須)]に設定します。復旧と認証に利用できるAuthenticatorをユーザーが十分に確保できるように、複数のAuthenticatorへの登録をユーザーに求めることをお勧めします。

セルフサービスのアカウント復旧の構成

  1. パスワードポリシーを追加します
  2. 任意。Oktaアカウント管理ポリシー機能を有効にしたものの、その機能をセルフサービスアクションに使用したくないときは、[Access control(アクセスコントロール)]条件を[Legacy(レガシー)]に設定します。
  3. 必要に応じてセルフサービスオプションを構成します。

推奨される構成

一部の構成では、アカウントの復旧中にユーザーの認証がブロックされる場合があります。次の表は、避けるべき構成の例、説明、代わりに推奨される構成を示しています。

避けるべき構成

理由

代わりに使用する構成

Admin Console[Security(セキュリティ)][Authenticator]に移動してメールおよび電話Authenticatorの[Actions(アクション)][Edit(編集)]を選択し、[Used for(用途)]の設定を表示します。

  • メールは[Recovery(復旧)]に設定されています

  • 電話は[Authentication and recovery(認証と復旧)]に設定されています

  • その他のAuthenticatorは、有効化されていないか、認証用に登録する必要はありません

Admin Console[Security(セキュリティ)][Authenticator]に移動し、[Password(パスワード)]行の[Actions(アクション)][Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用して復旧を開始可能)]セクションでは、[Email(メール)]オプションと[Phone (SMS / Voice call)(電話(SMS /通話))]オプションが選択されています

  • [Additional verification is(追加の検証に関する設定)]セクションでは、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みAuthenticator)]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するオプションとして[Email(メール)][Phone(電話)]が表示されます。ユーザーが電話を選択した場合、メールは認証ではなく復旧用に構成されているため、2番目の検証を完了できません。

  • [Add Rule(ルールを追加)]または[Edit Rule(ルールを編集)]ダイアログの[Recovery Authenticator(復旧Authenticator)]セクションで、復旧の開始が許可されるようにメールのみを有効にします。

  • メールと電話で復旧を開始できるようにし、MFA/SSOに使用される登録済みのAuthenticatorを使った追加の検証を求めるには:

    • 次のAuthenticatorを有効化し、Authenticator登録に[Required(必須)]として設定します。

      • Okta Verify

      • WebAuthn

      • Google Authenticator

Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  • メールは[Recovery(復旧)]に使用されます

  • Okta Verify[Authentication(認証)][Recovery(復旧)]に使用されます

  • その他のAuthenticatorは、有効化されていないか、認証用に登録する必要はありません

Admin Console[Security(セキュリティ)][Authenticator]に移動し、[Password(パスワード)]行の[Actions(アクション)][Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用して復旧を開始可能)]セクションの[Recovery(復旧)]では、[Email(メール)]オプションと[Okta Verify]オプションが有効化されています

  • [Additional verification is(追加の検証に関する設定)]セクションでは、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みAuthenticator)]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するためのオプションとして[Email(メール)][Okta Verify]が表示されます。ユーザーがOkta Verifyを選択した場合、メールは認証ではなく復旧用に構成されているため、2番目の検証を完了できません。

  • [Add Rule(ルールを追加)]または[Edit Rule(ルールを編集)]ダイアログの[Recovery Authenticator(復旧Authenticator)]セクションで、復旧の開始が許可されるようにメールのみを有効にします。

  • メールとOkta Verifyで復旧を開始できるようにし、MFA/SSOに使用される登録済みのAuthenticatorを使った追加の検証を求めるには:

    • 次のAuthenticatorを有効化し、Authenticator登録に[Required(必須)]として設定します。

      • 電話

      • WebAuthn

      • Google Authenticator

Admin Console[Security(セキュリティ)][Authenticator]に移動してメールおよび電話Authenticatorの[Actions(アクション)][Edit(編集)]を選択し、[Used for(用途)]の設定を表示します。

  • メールは[Recovery(復旧)]に設定されています

  • 電話は[Authentication(認証)][Recovery(復旧)]に設定されていますが、登録用に[Required(必須)]と設定されていません

  • Okta Verifyは認証と復旧に設定されていますが、登録用に必須と設定されていません

  • その他のAuthenticatorは、有効化されていないか、認証用に登録する必要はありません

Admin Console[Security(セキュリティ)][Authenticator]に移動し、[Password(パスワード)]行の[Actions(アクション)][Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用して復旧を開始可能)]セクションでは、[Okta Verify][Phone (SMS / Voice call)(電話(SMS /通話))]、または両方のオプションが選択されています

Authenticator登録ポリシーがユーザーにOkta Verifyまたは電話への登録を求めていないため、ユーザーはこの構成の復旧プロセスを開始できません。

復旧の開始に電話、Okta Verify、または両方を使用するには、これらのAuthenticatorがAuthenticator登録ポリシーで[Required(必須)]に設定されていることを確認します。

Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  • 電話は[Recovery(復旧)]に使用されます

  • Okta Verify[Authentication(認証)][Recovery(復旧)]に使用されます

  • その他のAuthenticatorは、有効化されていないか、認証用に登録する必要はありません

Admin Console[Security(セキュリティ)][Authenticator]に移動し、[Password(パスワード)]行の[Actions(アクション)][Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用して復旧を開始可能)]セクションの[Recovery(復旧)]では、[Phone(電話)]オプションと[Okta Verify]オプションが有効化されています
  • [Additional verification is(追加の検証に関する設定)]セクションでは、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みAuthenticator)]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するオプションとして[Phone(電話)][Okta Verify]が表示されます。ユーザーがOkta Verifyを選択した場合、電話は認証ではなく復旧用に構成されているため、2番目の検証を完了できません。

  • [Add Rule(ルールを追加)]または[Edit Rule(ルールを編集)]ダイアログの[Recovery Authenticator(復旧Authenticator)]セクションで、復旧の開始が許可されるように電話のみを有効にします。

  • 電話とOkta Verifyで復旧を開始できるようにし、MFA/SSOに使用される登録済みのAuthenticatorを使った追加の検証を求めるには:

    • 次のAuthenticatorを有効化し、Authenticator登録に[Required(必須)]として設定します。

      • メール

      • WebAuthn

      • Google Authenticator

Admin Console[Security(セキュリティ)][Authenticator]に移動し、[Email(メール)]および[Phone(電話)]Authenticatorの[Actions(アクション)][Edit(編集)]を選択して[Used for(用途)]の設定を表示します。

  • メールは[Recovery(復旧)]に設定されています
  • 電話は[Recovery(復旧)]に設定されています
  • Okta Verify[Authentication(認証)][Recovery(復旧)]に設定されています
  • その他のAuthenticatorは、有効化されていないか、認証用に登録する必要はありません

Admin Console[Security(セキュリティ)][Authenticator]に移動し、[Password(パスワード)]行の[Actions(アクション)][Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用して復旧を開始可能)]セクションでは、[Okta Verify][Email(メール)][Phone (SMS / Voice call)(電話(SMS /通話))]オプションが選択されています
  • [Additional verification is(追加の検証に関する設定)]セクションでは、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みAuthenticator)]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するためのオプションとして[Okta Verify][Email(メール)][Phone(電話)]が表示されます。ユーザーがOkta Verifyを選択した場合、メールと電話は認証ではなく復旧専用に構成されているため、2番目の検証を完了できません。
  • [Add Rule(ルールを追加)]または[Edit Rule(ルールを編集)]ダイアログの[Recovery Authenticator(復旧Authenticator)]セクションで、復旧の開始が許可されるようにメールと電話を有効にします。

  • 電話、メール、Okta Verifyで復旧を開始できるようにし、MFA/SSOに使用される登録済みのAuthenticatorを使った追加の検証を求めるには:

    • 次のAuthenticatorを有効化し、Authenticator登録に[Required(必須)]として設定します。

      • WebAuthn

      • Google Authenticator

  • パスワードのリセットまたはアカウントのロック解除向けのメールと電話は無効化できます。
  • 追加の検証手順としてセキュリティ質問を有効化できます。
  • LDAPをソースとするOktaユーザーアカウントのロック解除オプションを選択した場合、ユーザーアカウントはOktaではロック解除されますが、オンプレミスLDAPインスタンスではロックされたままとなります。
  • メール以外のAuthenticatorを少なくとも2つ[Required(必須)]に設定します。
  • 日常的な認証に選択したAuthenticatorを復旧に使用しないでください。
  • セルフサービスによるパスワードリセットのシナリオでは、プッシュによるOkta Verifyを唯一のAuthenticatorとして選択し、復旧のためにユーザー列挙防止を有効にした場合、その設定をオフにしても、ユーザーは引き続き番号一致チャレンジを受け取ります。

関連項目

パスワードAuthenticatorを構成する

Okta Verify Authenticatorを構成する

メールAuthenticatorを構成する

電話Authenticatorを構成する