セルフサービスのアカウント復旧

セルフサービスのアカウント復旧を使用すると、アクティブなエンドユーザーが管理サポートに問い合わせずにOktaパスワードをリセットしたり、アカウントのロックを解除したりできるようになります。

セルフサービスのアカウント復旧は、パスワードポリシーのルールを通じて構成できます。

開始する前に

パスワードポリシールールを構成する前に、パスワードオーセンティケーターと、アカウントのリセットまたはロック解除の開始をエンドユーザーが選択できるオーセンティケーターが有効になっていることを確認してください。

セルフサービスのアカウント復旧の構成

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
  2. [Password(パスワード)]行で、[Actions(アクション)]>[Edit(編集)]をクリックします。
  3. 既存のパスワードポリシーで、[Add Rule(ルールを追加)]をクリックするか、既存のルールを編集します。
  4. 必要に応じて次のオプションを構成します:
    • IF[User’s IP is(ユーザーのIPの場所)]:[Anywhere(すべての場所)][In zone(ゾーン内)][Not in zone(ゾーン外)]のうち、ユーザーのIPがどこに位置している場合にルールを呼び出すかを指定します。
    • THEN[User can perform self-service(ユーザーは次をセルフサービスで実行可能)]:
      • [Password change (from account settings)(パスワード変更(アカウント設定から))]:ユーザーは、パスワードと別の要素(登録されている場合)を使用して認証するとパスワードを変更できるようになります。
      • [Password reset(パスワードリセット)]:ユーザーは、復旧設定で構成されている任意のオーセンティケーターを使って検証することで、忘れたパスワードをリセットできます。
      • [Unlock account(アカウントロック解除)]:ユーザーは、復旧設定で構成されている任意のオーセンティケーターを使用して検証することで、アカウントのロックを解除できます。
    • AND[Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]:
      • Okta Verify(プッシュ通知のみ)
      • 電話(SMS /音声通話)
      • メール
    • AND[Additional verification is(追加の検証に関する設定)]
      • [Not required(不要)]:ユーザーが第2要素を使用して認証を行う必要はありません。
      • [Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みオーセンティケーター)]:ユーザーは、MFAオーセンティケーター(Okta Verify、E メール、電話、セキュリティキー)を第2要素として使用し、認証する必要があります。
      • [Only Security Question(セキュリティ上の質問のみ)]:ユーザーは、第2要素として使用するセキュリティ上の質問に回答する必要があります。
  5. パスワードポリシールールを作成または更新して、変更内容を保存します。

復旧の開始と追加の検証の提供の両方に同じオーセンティケーターを使用することはできません。AND[Additional verification is(追加の検証に関する設定)]オプションで選択するオーセンティケーターは、AND[Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]オプションで選択するオーセンティケーターとは異なる必要があります。

推奨される構成

日常的な認証オーセンティケーターと復旧オーセンティケーターの構成方法によっては、アカウント復旧を開始するときにユーザーが認証できなくなる場合があります。

次の表に、避けるべき構成の例、説明、代わりの推奨される構成を示します。

避けるべき構成

理由

代わりに使用する構成

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、メールオーセンティケーターおよび電話オーセンティケーターの[Actions(アクション)][Edit(編集)]を選択して、[Used for(用途)]の設定を表示します。

  • メールが[Recovery(復旧)]に設定されています

  • 電話が[Authentication and recovery(認証と復旧)]に設定されています

  • ほかのオーセンティケーターは、有効になっていないか、認証のために登録する必要がありません

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Password(パスワード)]行の[Actions(アクション)]>[Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]セクションで、[Email(メール)]オプションと[Phone (SMS / Voice call)(電話(SMS /音声通話))]オプションが選択されています

  • [Additional verification is(追加の検証に関する設定)]セクションで、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みオーセンティケーター)]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するために[Email(メール)]オプションと[Phone(電話)]オプションが表示されます。[Email(メール)][Authentication(認証)]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Phone(電話)]を選択した場合、二次検証を完了できません。

  • [Add Rule(ルールを追加)]ダイアログまたは[Edit Rule(ルールを編集)]ダイアログの[Recovery authenticators(復旧オーセンティケーター)]セクションで、[Email(メール)]のみを有効にして復旧の開始が許可されるようにします。

  • 復旧の開始を許可するためにメールと電話の両方が必要で、MFA/SSOに使用される登録済みのオーセンティケーターを使用した追加の検証も必要な場合は、Okta VerifyWebAuthnGoogle認証システムなどのほかのオーセンティケーターが有効になっていて、認証に登録されるように[Required(必須)]に設定されていることを確認します。

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。

  • メールが[Recovery(復旧)]に使用されます

  • Okta Verify[Authentication(認証)][Recovery(復旧)]に使用されます

  • ほかのオーセンティケーターは、有効になっていないか、認証のために登録する必要がありません

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Password(パスワード)]行の[Actions(アクション)]>[Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]セクションの[Recovery(復旧)]で、[Email(メール)]オプションと[Okta Verify]オプションが有効になっています

  • [Additional verification is(追加の検証に関する設定)]セクションで、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みオーセンティケーター)]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するために[Email(メール)]オプションと[Okta Verify]オプションが表示されます。[Email(メール)][Authentication(認証)]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Okta Verify]を選択した場合、二次検証を完了できません。

  • [Add Rule(ルールを追加)]ダイアログまたは[Edit Rule(ルールを編集)]ダイアログの[Recovery authenticators(復旧オーセンティケーター)]セクションで、[Email(メール)]のみを有効にして復旧の開始が許可されるようにします。

  • 復旧の開始を許可するためにメールとOkta Verifyの両方が必要で、MFA/SSOに使用される登録済みのオーセンティケーターを使用した追加の検証も必要な場合は、電話、WebAuthnGoogle認証システムなどのほかのオーセンティケーターが有効になっていて、認証に登録されるように[Required(必須)]に設定されていることを確認します。

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、メールオーセンティケーターおよび電話オーセンティケーターの[Actions(アクション)][Edit(編集)]を選択して、[Used for(用途)]の設定を表示します。

  • メールが[Recovery(復旧)]に設定されています

  • 電話が[Authentication(認証)][Recovery(復旧)]に設定されていますが、登録では[Required(必須)]と設定されていません

  • Okta Verifyが[Authentication(認証)]と[Recovery(復旧)]に設定されていますが、登録では[Required(必須)]と設定されていません

  • ほかのオーセンティケーターは、有効になっていないか、認証のために登録する必要がありません

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Password(パスワード)]行の[Actions(アクション)]>[Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]セクションで、[Okta Verify]オプションまたは[Phone (SMS / Voice call)(電話(SMS /音声通話))]オプションあるいはその両方が選択されています

ユーザーは、この構成の復旧プロセスを開始できません。登録ポリシーで[Required(必須)]に設定されていないため、Okta Verifyまたは電話への登録は求められません。

電話、Okta Verify、またはその両方を使用して復旧を開始するには、登録ポリシーの一部としてこれらのオーセンティケーターが[Required(必須)]に設定されていることを確認してください。

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。

  • 電話が[Recovery(復旧)]に使用されます

  • Okta Verify[Authentication(認証)][Recovery(復旧)]に使用されます

  • ほかのオーセンティケーターは、有効になっていないか、認証のために登録する必要がありません

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Password(パスワード)]行の[Actions(アクション)]>[Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]セクションの[Recovery(復旧)]で、[Phone(電話)]オプションと[Okta Verify]オプションが有効になっています
  • [Additional verification is(追加の検証に関する設定)]セクションで、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みオーセンティケーター)]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するために[Phone(電話)]オプションと[Okta Verify]オプションが表示されます。[Phone(電話)]は[Authentication(認証)]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Okta Verify]を選択した場合、二次検証を完了できません。

  • [Add Rule(ルールを追加)]ダイアログまたは[Edit Rule(ルールを編集)]ダイアログの[Recovery authenticators(復旧オーセンティケーター)]セクションで、[Phone(電話)]のみを有効にして復旧の開始が許可されるようにします。

  • 復旧の開始を許可するために電話とOkta Verifyの両方が必要で、MFA/SSOに使用される登録済みのオーセンティケーターを使用した追加の検証も必要な場合は、メール、WebAuthnGoogle認証システムなどのほかのオーセンティケーターが有効になっていて、認証に登録されるように[Required(必須)]に設定されていることを確認します。

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Email(メール)]オーセンティケーターおよび[Phone(電話)]オーセンティケーターの[Actions(アクション)]>[Edit(編集)]を選択して、[Used for(用途)]の設定を表示します。

  • メールが[Recovery(復旧)]に設定されています
  • 電話が[Recovery(復旧)]に設定されています
  • Okta Verify[Authentication(認証)][Recovery(復旧)]に設定されています
  • ほかのオーセンティケーターは、有効になっていないか、認証のために登録する必要がありません

Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Password(パスワード)]行の[Actions(アクション)]>[Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]セクションで、[Okta Verify][Email(メール)]、および[Phone (SMS / Voice call)(電話(SMS /音声通話))]オプションが選択されています
  • [Additional verification is(追加の検証に関する設定)]セクションで、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みオーセンティケーター)]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するために[Okta Verify][Email(メール)]、および[Phone(電話)]オプションが表示されます。[Email(メール)][Phone(電話)][Authentication(認証)]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Okta Verify]を選択した場合、二次検証を完了できません。

  • [Add Rule(ルールを追加)]ダイアログまたは[Edit Rule(ルールを編集)]ダイアログの[Recovery authenticators(復旧オーセンティケーター)]セクションで、[Email(メール)][Phone(電話)]のみを有効にして復旧の開始が許可されるようにします。
  • 復旧の開始を許可するためにこれら3つ(Okta Verify、メール、電話)がすべて必要で、MFA/SSOに使用される登録済みのオーセンティケーターを使用した追加の検証も必要な場合は、WebAuthnGoogle認証システムなどのほかのオーセンティケーターが有効になっていて、認証に登録されるように[Required(必須)]に設定されていることを確認します。
  • メールと電話は、パスワードのリセットやアカウントのロック解除を行うためにオフにすることが可能なMFAオーセンティケーターです。
  • 追加の検証手順としてセキュリティ上の質問を有効にすることもできます。「MFAオーセンティケーターについて」を参照してください。
  • LDAPをソースとするOktaユーザーアカウントに対してセルフサービスのロック解除オプションを選択すると、Oktaでユーザーアカウントをロック解除しても、オンプレミスLDAPインスタンスではロックされたままになります。
  • [Security(セキュリティ)]>[Authenticators(オーセンティケーター)]ページの[Enrollment(登録)]タブで、すべてのオーセンティケーターを[Optional(任意)]に設定しないでください。メール以外のオーセンティケーターを少なくとも2つ[Required(必須)]に設定してください。
  • 日常的な認証に選択したオーセンティケーターを復旧に使用しないでください。
  • 多要素認証を使用する必要がある従業員ユーザーの日常的な認証要件に対して追加の検証を構成するには、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みオーセンティケーター)]オプションを使用します。[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]>[Setup(セットアップ)]タブに移動し、[Password(パスワード)]項目の[Actions(アクション)]>[Edit(編集)]をクリックします。次に、[Password(パスワード)]ダイアログの[Add Rule(ルールを追加)]ダイアログまたは[Edit Rule(ルールを編集)]ダイアログで、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みオーセンティケーター)]オプションを選択します。

関連項目

パスワードオーセンティケーターの構成

Okta Verifyオーセンティケーターの構成

メールオーセンティケーターの構成

電話オーセンティケーターの構成