セルフサービスのアカウント復旧

セルフサービスのアカウント復旧を使用すると、アクティブなエンドユーザーが管理サポートに問い合わせずにOktaパスワードをリセットしたり、アカウントのロックを解除したりできるようになります。

セルフサービスのアカウント復旧は、パスワードポリシーのルールを通じて構成できます。

開始する前に

パスワードオーセンティケーターと、ユーザーがアカウントの回復に使用できるその他のオーセンティケーターを有効にします。

セルフサービスのアカウント復旧の構成

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
  2. [Password(パスワード)]行で、[Actions(アクション)]>[Edit(編集)]をクリックします。
  3. 既存のパスワードポリシーで、[Add Rule(ルールを追加)]をクリックするか、既存のルールを編集します。
  4. 必要に応じて次のオプションを構成します:
    • IF[User’s IP is(ユーザーのIPの場所)]:[Anywhere(すべての場所)][In zone(ゾーン内)][Not in zone(ゾーン外)]のうち、ユーザーのIPがどこに位置している場合にルールを呼び出すかを指定します。
    • THEN[User can perform self-service(ユーザーは次をセルフサービスで実行可能)]:
      • [Password change (from account settings)(パスワード変更(アカウント設定から))]:ユーザーは、パスワードと別の要素(登録されている場合)を使用して認証するとパスワードを変更できるようになります。
      • [Password reset(パスワードリセット)]:ユーザーは、復旧設定で構成されている任意のオーセンティケーターを使って検証することで、忘れたパスワードをリセットできます。
      • [Unlock account(アカウントロック解除)]:ユーザーは、復旧設定で構成されている任意のオーセンティケーターを使用して検証することで、アカウントのロックを解除できます。
    • AND[Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]:
      • Okta Verify(プッシュ通知のみ)
      • 電話(SMS /音声通話)
      • メール
    • AND[Additional verification is(追加の検証に関する設定)]
      • [Not required(不要)]:ユーザーが第2要素を使用して認証を行う必要はありません。
      • [Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みオーセンティケーター)]:ユーザーは、MFAオーセンティケーター(Okta Verify、E メール、電話、セキュリティキー)を第2要素として使用し、認証する必要があります。
      • [Only Security Question(セキュリティ上の質問のみ)]:ユーザーは、第2要素として使用するセキュリティ上の質問に回答する必要があります。
  5. パスワードポリシールールを作成または更新して、変更内容を保存します。

復旧の開始と追加の検証の提供の両方に同じオーセンティケーターを使用することはできません。AND[Additional verification is(追加の検証に関する設定)]オプションで選択するオーセンティケーターは、AND[Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]オプションで選択するオーセンティケーターとは異なる必要があります。

推奨される構成

一部の構成では、アカウントの回復を開始するときにユーザーが認証できなくなる可能性があります。次の表に、避けるべき構成の例、説明、代わりの推奨される構成を示します。

避けるべき構成

理由

代わりに使用する構成

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、メールオーセンティケーターおよび電話オーセンティケーターの[Actions(アクション)][Edit(編集)]を選択して、[Used for(用途)]の設定を表示します。

  • メールが[Recovery(復旧)]に設定されています

  • 電話が[Authentication and recovery(認証と復旧)]に設定されています

  • ほかのオーセンティケーターは、有効になっていないか、認証のために登録する必要がありません

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Password(パスワード)]行の[Actions(アクション)]>[Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]セクションで、[Email(メール)]オプションと[Phone (SMS / Voice call)(電話(SMS /音声通話))]オプションが選択されています

  • [Additional verification is(追加の検証に関する設定)]セクションで、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みオーセンティケーター)]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するために[Email(メール)]オプションと[Phone(電話)]オプションが表示されます。[Email(メール)][Authentication(認証)]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Phone(電話)]を選択した場合、二次検証を完了できません。

  • [Add Rule(ルールを追加)]ダイアログまたは[Edit Rule(ルールを編集)]ダイアログの[Recovery authenticators(復旧オーセンティケーター)]セクションで、[Email(メール)]のみを有効にして復旧の開始が許可されるようにします。

  • メールと電話で回復を開始できるようにし、MFA/SSOに使用される登録済みのオーセンティケーターを使用して追加の検証を要求するには:

    • これらのオーセンティケーターを有効にして、オーセンティケーターの登録に必須として設定します。

      • Okta Verify

      • WebAuthn

      • Google認証システム

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。

  • メールが[Recovery(復旧)]に使用されます

  • Okta Verify[Authentication(認証)][Recovery(復旧)]に使用されます

  • ほかのオーセンティケーターは、有効になっていないか、認証のために登録する必要がありません

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Password(パスワード)]行の[Actions(アクション)]>[Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]セクションの[Recovery(復旧)]で、[Email(メール)]オプションと[Okta Verify]オプションが有効になっています

  • [Additional verification is(追加の検証に関する設定)]セクションで、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みオーセンティケーター)]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するために[Email(メール)]オプションと[Okta Verify]オプションが表示されます。[Email(メール)][Authentication(認証)]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Okta Verify]を選択した場合、二次検証を完了できません。

  • [Add Rule(ルールを追加)]ダイアログまたは[Edit Rule(ルールを編集)]ダイアログの[Recovery authenticators(復旧オーセンティケーター)]セクションで、[Email(メール)]のみを有効にして復旧の開始が許可されるようにします。

  • メールとOkta Verifyで回復を開始できるようにし、MFA/SSOに使用される登録済みのオーセンティケーターを使用して追加の検証を要求するには:

    • これらのオーセンティケーターを有効にして、オーセンティケーターの登録に必須として設定します。

      • 電話

      • WebAuthn

      • Google認証システム

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、メールオーセンティケーターおよび電話オーセンティケーターの[Actions(アクション)][Edit(編集)]を選択して、[Used for(用途)]の設定を表示します。

  • メールが[Recovery(復旧)]に設定されています

  • 電話が[Authentication(認証)][Recovery(復旧)]に設定されていますが、登録では[Required(必須)]と設定されていません

  • Okta Verifyが[Authentication(認証)]と[Recovery(復旧)]に設定されていますが、登録では[Required(必須)]と設定されていません

  • ほかのオーセンティケーターは、有効になっていないか、認証のために登録する必要がありません

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Password(パスワード)]行の[Actions(アクション)]>[Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]セクションで、[Okta Verify]オプションまたは[Phone (SMS / Voice call)(電話(SMS /音声通話))]オプションあるいはその両方が選択されています

ユーザーは、この構成の回復プロセスを開始できません。登録ポリシーで必須に設定されていないため、Okta Verifyまたは電話に登録するよう求められません。

電話、Okta Verify、またはその両方を使用して復旧を開始するには、登録ポリシーの一部としてこれらのオーセンティケーターが[Required(必須)]に設定されていることを確認してください。

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。

  • 電話が[Recovery(復旧)]に使用されます

  • Okta Verify[Authentication(認証)][Recovery(復旧)]に使用されます

  • ほかのオーセンティケーターは、有効になっていないか、認証のために登録する必要がありません

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Password(パスワード)]行の[Actions(アクション)]>[Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]セクションの[Recovery(復旧)]で、[Phone(電話)]オプションと[Okta Verify]オプションが有効になっています
  • [Additional verification is(追加の検証に関する設定)]セクションで、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みオーセンティケーター)]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するために[Phone(電話)]オプションと[Okta Verify]オプションが表示されます。[Phone(電話)]は[Authentication(認証)]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Okta Verify]を選択した場合、二次検証を完了できません。

  • [Add Rule(ルールを追加)]ダイアログまたは[Edit Rule(ルールを編集)]ダイアログの[Recovery authenticators(復旧オーセンティケーター)]セクションで、[Phone(電話)]のみを有効にして復旧の開始が許可されるようにします。

  • 電話とOkta Verifyで回復を開始できるようにし、MFA/SSOに使用される登録済みのオーセンティケーターを使用して追加の検証を要求するには:

    • これらのオーセンティケーターを有効にして、オーセンティケーターの登録に必須として設定します。

      • メール

      • WebAuthn

      • Google認証システム

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Email(メール)]オーセンティケーターおよび[Phone(電話)]オーセンティケーターの[Actions(アクション)]>[Edit(編集)]を選択して、[Used for(用途)]の設定を表示します。

  • メールが[Recovery(復旧)]に設定されています
  • 電話が[Recovery(復旧)]に設定されています
  • Okta Verify[Authentication(認証)][Recovery(復旧)]に設定されています
  • ほかのオーセンティケーターは、有効になっていないか、認証のために登録する必要がありません

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Password(パスワード)]行の[Actions(アクション)]>[Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]セクションで、[Okta Verify][Email(メール)]、および[Phone (SMS / Voice call)(電話(SMS /音声通話))]オプションが選択されています
  • [Additional verification is(追加の検証に関する設定)]セクションで、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みオーセンティケーター)]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するために[Okta Verify][Email(メール)][Phone(電話)]オプションが表示されます。[Email(メール)][Phone(電話)][Authentication(認証)]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Okta Verify]を選択した場合、二次検証を完了できません。

  • [Add Rule(ルールを追加)]ダイアログまたは[Edit Rule(ルールを編集)]ダイアログの[Recovery authenticators(復旧オーセンティケーター)]セクションで、[Email(メール)][Phone(電話)]のみを有効にして復旧の開始が許可されるようにします。
  • 電話、メール、Okta Verifyで回復を開始できるようにし、MFA/SSOに使用される登録済みのオーセンティケーターを使用して追加の検証を要求するには:

    • これらのオーセンティケーターを有効にして、オーセンティケーターの登録に必須として設定します。

      • WebAuthn

      • Google認証システム

  • メールと電話は、パスワードのリセットやアカウントのロック解除を行うためにオフにすることが可能なMFAオーセンティケーターです。
  • 追加の検証手順としてセキュリティ上の質問を有効にすることもできます。「MFAオーセンティケーターについて」を参照してください。
  • LDAPをソースとするOktaユーザーアカウントに対してロック解除オプションを選択すると、Oktaでユーザーアカウントをロック解除しても、オンプレミスLDAPインスタンスではロックされたままになります。
  • [Security(セキュリティ)]>[Authenticators(オーセンティケーター)]ページの[Enrollment(登録)]タブで、すべてのオーセンティケーターを[Optional(任意)]に設定しないでください。メール以外のオーセンティケーターを少なくとも2つ[Required(必須)]に設定してください。
  • 日常的な認証に選択したオーセンティケーターを復旧に使用しないでください。
  • 追加の検証を構成するには、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みオーセンティケーター)]オプションを使用します。[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]>[Setup(セットアップ)]に移動し、[Actions(アクション)]>[Edit(編集)]>[Password(パスワード)]をクリックします。パスワードポリシールールで、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用される任意の登録済みAuthenticator)] オプションを選択します。

関連項目

パスワードオーセンティケーターの構成

Okta Verifyオーセンティケーターの構成

メールオーセンティケーターの構成

電話オーセンティケーターの構成