セルフサービスのアカウント復旧

セルフサービスのアカウント復旧を使用すると、アクティブなエンド・ユーザーが管理サポートに問い合わせずにOktaパスワードをリセットしたり、アカウントのロックを解除したりできるようになります。

セルフサービスのアカウント復旧は、パスワード・ポリシーのルールを通じて構成できます。

開始する前に

パスワード・ポリシー・ルールを構成する前に、パスワード・オーセンティケーターと、アカウントのリセットまたはロック解除の開始をエンド・ユーザーが選択できるオーセンティケーターが有効になっていることを確認してください。

セルフサービスのアカウント復旧の構成

  1. 管理コンソールで、[セキュリティー] > に移動します [オーセンティケーター]
  2. [パスワード]行で、[アクション] > [編集]をクリックします。
  3. 既存のパスワード・ポリシーで、[ルールを追加]をクリックするか、既存のルールを編集します。
  4. 必要に応じて次のオプションを構成します:
    • IFユーザーのIPの場所 – [すべての場所][ゾーン内][ゾーン外]のうち、ユーザーのIPがどこに位置している場合にルールを呼び出すかを指定します。

    • THENユーザーは次をセルフサービスで実行可能:

      • パスワード変更(アカウント設定から) – ユーザーは、パスワードと別の要素(登録されている場合)を使用して認証するとパスワードを変更できるようになります。

      • パスワード・リセット – ユーザーは、復旧設定で構成されている任意のオーセンティケーターを使って検証することで、忘れたパスワードをリセットできます。

      • アカウント・ロック解除 – ユーザーは、復旧設定で構成されている任意のオーセンティケーターを使用して検証することで、アカウントのロックを解除できます。

    • ANDユーザーは次を使用してリカバリーを開始可能:

      • Okta Verify(プッシュ通知のみ)

      • 電話(SMS /音声通話)

      • メール

    • AND追加の検証に関する設定

      • 不要 – ユーザーが第2要素を使用して認証を行う必要はありません。

      • MFA/SSOに使用する任意の登録済みオーセンティケーター – ユーザーは、多要素認証オーセンティケーター(Okta Verify、Eメール、電話、セキュリティー・キー)を第2要素として使用し、認証する必要があります。

      • セキュリティー上の質問のみ – ユーザーは、第2要素として使用するセキュリティー上の質問に回答する必要があります。

  5. パスワード・ポリシー・ルールを作成または更新して、変更内容を保存します。

推奨される構成

日常的な認証オーセンティケーターと復旧オーセンティケーターの構成方法によっては、アカウント復旧を開始するときにユーザーが認証できなくなる場合があります。

次の表に、避けるべき構成の例、説明、代わりの推奨される構成を示します。

避けるべき構成

理由

代わりに使用する構成

管理ダッシュボードで、[セキュリティー] > [オーセンティケーター]に移動し、メール・オーセンティケーターおよび電話オーセンティケーターの[アクション][編集]を選択して、[用途]の設定を表示します。

  • メールが[復旧]に設定されています

  • 電話が[認証と復旧]に設定されています

  • ほかのオーセンティケーターは、有効になっていないか、認証のために登録する必要がありません

管理ダッシュボードで、[セキュリティー] > [オーセンティケーター]に移動し、[パスワード]行の[アクション] > [編集]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [ユーザーは次を使用してリカバリーを開始可能]セクションで、[メール]オプションと[電話(SMS /音声通話)]オプションが選択されています

  • [追加の検証に関する設定]セクションで、[MFA/SSOに使用する任意の登録済みオーセンティケーター]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するために[メール]オプションと[電話]オプションが表示されます。[メール]は認証用ではなく復旧用に構成されているため、ユーザーが[電話]を選択した場合、二次検証を完了できません。

  • [ルールを追加]ダイアログまたは[ルールを編集]ダイアログの[復旧オーセンティケーター]セクションで、[メール]のみを有効にして復旧の開始が許可されるようにします。

  • 復旧の開始を許可するためにメールと電話の両方が必要で、MFA/SSOに使用される登録済みのオーセンティケーターを使用した追加の検証も必要な場合は、Okta Verify、WebAuthn、Google Authenticatorなどのほかのオーセンティケーターが有効になっていて、認証に登録されるように[必須]に設定されていることを確認します。

管理ダッシュボードで、[セキュリティー] > [オーセンティケーター]に移動します。

  • メールが復旧に使用されます

  • Okta Verifyが認証と復旧に使用されます

  • ほかのオーセンティケーターは、有効になっていないか、認証のために登録する必要がありません

管理ダッシュボードで、[セキュリティー] > [オーセンティケーター]に移動し、[パスワード]行の[アクション] > [編集]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [ユーザーは次を使用してリカバリーを開始可能]セクションの[復旧]で、[メール]オプションと[Okta Verify]オプションが有効になっています

  • [追加の検証に関する設定]セクションで、[MFA/SSOに使用する任意の登録済みオーセンティケーター]オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するために[メール]オプションと[Okta Verify]オプションが表示されます。[メール]は認証用ではなく復旧用に構成されているため、ユーザーが[Okta Verify]を選択した場合、二次検証を完了できません。

  • [ルールを追加]ダイアログまたは[ルールを編集]ダイアログの[復旧オーセンティケーター]セクションで、[メール]のみを有効にして復旧の開始が許可されるようにします。

  • 復旧の開始を許可するためにメールとOkta Verifyの両方が必要で、MFA/SSOに使用される登録済みのオーセンティケーターを使用した追加の検証も必要な場合は、電話、WebAuthn、Google Authenticatorなどのほかのオーセンティケーターが有効になっていて、認証に登録されるように[必須]に設定されていることを確認します。

管理ダッシュボードで、[セキュリティー] > [オーセンティケーター]に移動し、メール・オーセンティケーターおよび電話オーセンティケーターの[アクション][編集]を選択して、[用途]の設定を表示します。

  • メールが[復旧]に設定されています

  • 電話が[認証]と[復旧]に設定されていますが、登録では[必須]と設定されていません

  • Okta Verifyが[認証]と[復旧]に設定されていますが、登録では[必須]と設定されていません

  • ほかのオーセンティケーターは、有効になっていないか、認証のために登録する必要がありません

管理ダッシュボードで、[セキュリティー] > [オーセンティケーター]に移動し、[パスワード]行の[アクション] > [編集]をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • [ユーザーは次を使用してリカバリーを開始可能]セクションで、[Okta Verify]オプションまたは[電話(SMS /音声通話)]オプションあるいはその両方が選択されています

ユーザーは、この構成の復旧プロセスを開始できません。登録ポリシーで[必須]に設定されていないため、Okta Verifyまたは電話への登録は求められません。

電話、Okta Verify、またはその両方を使用して復旧を開始するには、登録ポリシーの一部としてこれらのオーセンティケーターが[必須]に設定されていることを確認してください。

注

注:

  • メールと電話は、パスワードのリセットやアカウントのロック解除を行うためにオフにすることが可能な多要素認証オーセンティケーターです。

  • 追加の検証手順としてセキュリティー上の質問を有効にすることもできます。オーセンティケーターの構成を参照してください。

  • LDAPをソースとするOktaユーザー・アカウントに対してセルフサービスのロック解除オプションを選択すると、Oktaでユーザー・アカウントをロック解除しても、オンプレミスLDAPインスタンスではロックされたままになります。

  • [セキュリティー] > [オーセンティケーター]ページの[登録]タブで、すべてのオーセンティケーターを[オプション]に設定しないでください。メール以外のオーセンティケーターを少なくとも1つ[必須]に設定してください。

  • 日常的な認証に選択したオーセンティケーターを復旧に使用しないでください。

  • 多要素認証を使用する必要がある従業員ユーザーの日常的な認証要件に対して追加の検証を構成するには、[MFA/SSOに使用する任意の登録済みオーセンティケーター]オプションを使用します。[セキュリティー] > [オーセンティケーター] > [セットアップ]タブに移動し、[パスワード]項目の[アクション] > [編集]をクリックします。次に、[パスワード]ダイアログの[ルールを追加]ダイアログまたは[ルールを編集]ダイアログで、[MFA/SSOに使用する任意の登録済みオーセンティケーター]オプションを選択します。


関連項目

パスワード・ポリシーの構成

Okta Verifyオーセンティケーターの構成

メール・オーセンティケーターの構成

電話オーセンティケーターの構成