セルフサービスのアカウント復旧

セルフサービスのアカウント復旧を使用すると、アクティブなエンドユーザーが管理サポートに問い合わせずにOktaパスワードをリセットしたり、アカウントのロックを解除したりできるようになります。

セルフサービスのアカウント復旧は、パスワードポリシーのルールを通じて構成できます。

はじめに

この手順を開始する前に、アカウントの復旧に使用するすべてのAuthenticatorを有効にしてください。アカウントの復旧にOkta Verifyを使用するときは、プッシュ機能も必ず有効にしてください。

また、ユーザーが復旧以外のシナリオで利用できるAuthenticatorを可能な限り多く有効にします。追加するこれらのAuthenticatorは、復旧シナリオに使用するものと同じであってはなりません。

セルフサービスのアカウント復旧の構成

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。
  2. [Password(パスワード)]行で、[Actions(アクション)][Edit(編集)]をクリックします。
  3. 既存のパスワード・ポリシーで、[Add Rule(ルールを追加)]をクリックするか、既存のルールを編集します。
  4. 必要に応じて次のオプションを構成します:
    • IF[User’s IP is(ユーザーのIPの場所)]:[Anywhere(すべての場所)][n zone(ゾーン内)][Not in zone(ゾーン外)]のうち、ユーザーのIPがどこに位置している場合にルールを呼び出すかを指定します。
    • THEN[User can perform self-service(ユーザーは次をセルフサービスで実行可能)]:
      • [Password change (from account settings)(パスワード変更(アカウント設定から))]:ユーザーは、パスワードと別の要素(登録されている場合)を使用して認証するとパスワードを変更できるようになります。
      • [Password reset(パスワードリセット)]:ユーザーは、復旧設定で構成されている任意のAuthenticatorを使って検証することで、忘れたパスワードをリセットできます。
      • [Unlock account(アカウントロック解除)]:ユーザーは、復旧設定で構成されている任意のAuthenticatorを使用して検証することで、アカウントのロックを解除できます。
    • AND[Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]:
      • Okta Verify(プッシュ通知のみ)
      • 電話(SMS /通話)
      • メール
    • AND[Additional verification is(追加の検証に関する設定)]
      • [Not required(不要)]:ユーザーが第2要素を使用して認証を行う必要はありません。
      • [Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みAuthenticator)]:ユーザーは、MFA Authenticator(Okta Verify、メール、電話、セキュリティキー)を第2要素として使用し、認証する必要があります。
      • [Only Security Question(セキュリティ質問のみ)]:ユーザーは、第2要素として使用するセキュリティ質問に回答する必要があります。

    追加の検証を提供するために、復旧の開始に選択したものと同じAuthenticatorを使用することはできません。AND[Additional verification is(追加の検証に関する設定)]オプションで選択するAuthenticatorは、AND[Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]オプションで選択するAuthenticatorとは異なることを確認します。

    また、Oktaは復旧の開始用に選択するAuthenticatorのほかに、可能な限り多くのAuthenticatorに登録するようにユーザーに求めることを推奨します。復旧開始用に選択するAuthenticatorにしかユーザーが登録できないようにすると、サインインなど、復旧以外の状況でユーザーは自分の認証にAuthenticatorを使用できなくなります。可能な限り多くのAuthenticatorに登録するようにユーザーに求めることで、ユーザーは復旧と復旧以外の両方の状況でAuthenticator常に使用できるようになります。これらのAuthenticatorはAuthenticator登録ポリシーで必須として構成し、アクティブ化した復旧以外のすべてのAuthenticatorにユーザーが登録するように要求します。

  5. パスワードポリシールールを作成または更新して、変更内容を保存します。

推奨される構成

一部の構成では、アカウントの回復を開始するときにユーザーが認証できなくなる可能性があります。復旧の開始用に選択したものと同じAuthenticatorを、追加の検証を提供するために使用することはできません。詳細については、「セルフサービスのアカウントの復旧の構成」を参照してください。次の表に、避けるべき構成の例、説明、代わりの推奨される構成を示します。

避けるべき構成

理由

代わりに使用する構成

Okta Admin Consoleで、[Security(セキュリティ)][Authenticators]に移動し、メールAuthenticatorおよび電話Authenticatorの[Actions(アクション)][Edit(編集)]を選択して、[Used for(用途)]の設定を表示します。

  • メールが[Recovery(復旧)]に設定されています

  • 電話が[Authentication and recovery(認証と復旧)]に設定されています

  • ほかのAuthenticatorは、有効になっていないか、認証のために登録する必要がありません

Okta Admin Consoleで、[Security(セキュリティ)][Authenticators]に移動し、[Password(パスワード)]行の[Actions(アクション)][Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]セクションで、[Email(メール)]オプションと[Phone (SMS / Voice call)(電話(SMS /通話))]オプションが選択されています

  • [Additional verification is(追加の検証に関する設定)]セクションで、[Any enrolled Authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みAuthenticator)]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するために[Email(メール)]オプションと[Phone(電話)]オプションが表示されます。[Email(メール)][Authentication(認証)]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Phone(電話)]を選択した場合、二次検証を完了できません。

  • [Add Rule(ルールを追加)]ダイアログまたは[Edit Rule(ルールを編集)]ダイアログの[Recovery authenticators(復旧Authenticator)]セクションで、[Email(メール)]のみを有効にして復旧の開始が許可されるようにします。

  • メールと電話で回復を開始できるようにし、MFA/SSOに使用される登録済みのAuthenticatorを使用して追加の検証を要求するには:

    • これらのAuthenticatorを有効にして、Authenticatorの登録に[Required(必須)]として設定します。

      • Okta Verify

      • WebAuthn

      • Google Authenticator

Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。

  • メールが[Recovery(復旧)]に使用されます

  • Okta Verify[Authenticatoer(認証)][Recovery(復旧)]に使用されます

  • ほかのAuthenticatorは、有効になっていないか、認証のために登録する必要がありません

Okta Admin Consoleで、[Security(セキュリティ)][Authenticators]に移動し、[Password(パスワード)]行の[Actions(アクション)][Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]セクションの[Recovery(復旧)]で、[Email(メール)]オプションと[Okta Verify]オプションが有効になっています

  • [Additional verification is(追加の検証に関する設定)]セクションで、[Any enrolled Authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みAuthenticator)]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するために[Email(メール)]オプションと[Okta Verify]オプションが表示されます。[Email(メール)][Authentication(認証)]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Okta Verify]を選択した場合、二次検証を完了できません。

  • [Add Rule(ルールを追加)]ダイアログまたは[Edit Rule(ルールを編集)]ダイアログの[Recovery authenticators(復旧Authenticator)]セクションで、[Email(メール)]のみを有効にして復旧の開始が許可されるようにします。

  • メールとOkta Verifyで回復を開始できるようにし、MFA/SSOに使用される登録済みのAuthenticatorを使用して追加の検証を要求するには:

    • これらのAuthenticatorを有効にして、Authenticatorの登録に[Required(必須)]として設定します。

      • 電話

      • WebAuthn

      • Google Authenticator

Okta Admin Consoleで、[Security(セキュリティ)][Authenticators]に移動し、メールAuthenticatorおよび電話Authenticatorの[Actions(アクション)][Edit(編集)]を選択して、[Used for(用途)]の設定を表示します。

  • メールが[Recovery(復旧)]に設定されています

  • 電話が[Authentication(認証)][Recovery(復旧)]に設定されていますが、登録では[Required(必須)]と設定されていません

  • Okta Verifyが[Authentication(認証)]と[Recovery(復旧)]に設定されていますが、登録では[Required(必須)]と設定されていません

  • ほかのAuthenticatorは、有効になっていないか、認証のために登録する必要がありません

Okta Admin Consoleで、[Security(セキュリティ)][Authenticators]に移動し、[Password(パスワード)]行の[Actions(アクション)][Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]セクションで、[Okta Verify]オプションまたは[Phone (SMS / Voice call)(電話(SMS /通話))]オプションあるいはその両方が選択されています

ユーザーは、この構成の回復プロセスを開始できません。登録ポリシーで[Required(必須)]に設定されていないため、Okta Verifyまたは電話に登録するよう求められません。

電話、Okta Verify、またはその両方を使用して復旧を開始するには、登録ポリシーの一部としてこれらのAuthenticatorが[Required(必須)]に設定されていることを確認してください。

Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。

  • 電話が[Recovery(復旧)]に使用されます

  • Okta Verify[Authentication(認証)][Recovery(復旧)]に使用されます

  • ほかのAuthenticatorは、有効になっていないか、認証のために登録する必要がありません

Okta Admin Consoleで、[Security(セキュリティ)][Authenticators]に移動し、[Password(パスワード)]行の[Actions(アクション)][Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]セクションの[Recovery(復旧)]で、[Phone(電話)]オプションと[Okta Verify]オプションが有効になっています
  • [Additional verification is(追加の検証に関する設定)]セクションで、[Any enrolled Authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みAuthenticator)]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するために[Phone(電話)]オプションと[Okta Verify]オプションが表示されます。[Phone(電話)]は[認証]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Okta Verify]を選択した場合、二次検証を完了できません。

  • [Add Rule(ルールを追加)]ダイアログまたは[Edit Rule(ルールを編集)]ダイアログの[Recovery authenticators(復旧Authenticator)]セクションで、[Phone(電話)]のみを有効にして復旧の開始が許可されるようにします。

  • 電話とOkta Verifyで回復を開始できるようにし、MFA/SSOに使用される登録済みのAuthenticatorを使用して追加の検証を要求するには:

    • これらのAuthenticatorを有効にして、Authenticatorの登録に[Required(必須)]として設定します。

      • メール

      • WebAuthn

      • Google Authenticator

Okta Admin Consoleで、[Security(セキュリティ)][Authenticators]に移動し、[Email(メール)]Authenticatorおよび[Phone(電話)]Authenticatorの[Actions(アクション)][Edit(編集)]を選択して、[Used for(用途)]の設定を表示します。

  • メールが[Recovery(復旧)]に設定されています
  • 電話が[Recovery(復旧)]に設定されています
  • Okta Verify[Authentication(認証)][Recovery(復旧)]に設定されています
  • ほかのAuthenticatorは、有効になっていないか、認証のために登録する必要がありません

Okta Admin Consoleで、[Security(セキュリティ)][Authenticators]に移動し、[Password(パスワード)]行の[Actions(アクション)][Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]セクションで、[Okta Verify][Email(メール)]、および[Phone (SMS / Voice call)(電話(SMS /通話))]オプションが選択されています
  • [Additional verification is(追加の検証に関する設定)]セクションで、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みAuthenticator)]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するために[Okta Verify][Email(メール)][Phone(電話)]オプションが表示されます。[Email(メール)][Phone(電話)][Authentication(認証)]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Okta Verify]を選択した場合、二次検証を完了できません。

  • [Add Rule(ルールを追加)]ダイアログまたは[Edit Rule(ルールを編集)]ダイアログの[Recovery authenticators(復旧Authenticator)]セクションで、[Email(メール)][Phone(電話)]のみを有効にして復旧の開始が許可されるようにします。
  • 電話、メール、Okta Verifyで回復を開始できるようにし、MFA/SSOに使用される登録済みのAuthenticatorを使用して追加の検証を要求するには:

    • これらのAuthenticatorを有効にして、Authenticatorの登録に[Required(必須)]として設定します。

      • WebAuthn

      • Google Authenticator

  • メールと電話は、パスワードのリセットやアカウントのロック解除を行うためにオフにすることが可能なMFA Authenticatorです。
  • 追加の検証手順としてセキュリティ質問を有効にすることもできます。
  • LDAPをソースとするOktaユーザーアカウントに対してロック解除オプションを選択すると、Oktaでユーザーアカウントをロック解除しても、オンプレミスLDAPインスタンスではロックされたままになります。
  • [Security(セキュリティ)][Authenticators]ページの[Enrollment(登録)]タブで、すべてのAuthenticatorを[Optional(任意)]に設定しないでください。メール以外のAuthenticatorを少なくとも2つ[Required(必須)]に設定してください。
  • 日常的な認証に選択したAuthenticatorを復旧に使用しないでください。
  • 追加の検証を構成するには、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みAuthenticator)]オプションを使用します。[Security(セキュリティ)][Authenticators][Setup(セットアップ)]に移動し、[Password(パスワード)][Actions(アクション)][Edit(編集)]をクリックします。パスワードポリシールールで、[MFA/SSOに使用される任意の登録済みAuthenticator] オプションを選択します。

関連項目

パスワードAuthenticatorの構成

Okta Verify Authenticatorの構成

メールAuthenticatorを構成する

電話Authenticatorを構成する