一時アクセスコードauthenticatorを構成する

一時アクセスコード(TAC) authenticatorを使用すると、ユーザーのUniversal Directoryプロファイルから一時アクセスコードを生成できます。このauthenticatorを使用すると、ユーザーが自宅にセキュリティキーを忘れた場合など、オンボーディングや一時的なアクセスシナリオで、ユーザーがOktaへの一時的なアクセスを安全に得られるようになります。

管理者はこのauthenticatorを有効化し、ポリシーに追加します。ユーザーが一時パスコードを必要とする場合、十分な権限を持つOkta管理者が次のタスクを実行します。

  • ユーザーのIDを確認します。
  • ユーザーのプロファイを表示します。
  • TACを作成します。
  • 電話など、安全な帯域外チャネルを介してユーザーにTACを提供します。

ユーザーは、認証時にSign-In WidgetにTACを入力します。

このAuthenticatorは知識要素であり、ユーザーの存在の要件を満たします。単一の知識要素として、ポリシー内の任意の2要素タイプ(Any 2 factor types)要件を満たしません。多要素認証を参照してください。

Okta APIを使用したこのauthenticatorを操作については、「一時アクセスコードauthenticator統合ガイド」を参照してください。

開始する前に

  1. グループを作成しTAC usersと名前を付けます。
  2. TAC usersグループで管理者からTACを受け取る資格のあるユーザーを追加します。ユーザーをグループに手動で割り当てまたはユーザーをグループに一括で割り当てを参照してください。
  3. ロールを作成し(Create a role)TAC admin roleと名前を付けます。
  4. ユーザーの一時アクセスコード権限を管理する(Manage user's temporary access code permission)を検索し、チェックボックスを選択します。
  5. リソースセットを作成し(Create a resource set)TAC resource setと名前を付けます。リソースを追加(Add resource)の手順で、ユーザー(Users) を選択し、作成したTAC usersグループを選択します。
  6. 管理者を使用して管理者ロールの割り当てを作成します[ユーザー]ページから(From the People page)または[グループ]ページから(From the Groups page)セクションの手順に従います。
    1. TAC管理者ロールを選択します。
    2. TACリソースセットを選択します。
    3. 変更を保存(Save Changes)をクリックします。

TAC authenticatorの追加

  1. Admin Consoleで、セキュリティ(Security) > Authenticatorに移動します。

  2. 設定(Setup)タブで、Authenticatorを追加(Add Authenticator)をクリックします。

  3. Authenticatorタイルの追加(Add)をクリックします。

構成オプション

  1. 次のオプションを構成します。

    • 最短有効期限(Minimum expire length)(Minimum expiry length):期間を入力し、時間の単位を選択します。
    • 最長有効期限(Maximum expires length)(Maximum expiry length):期間を入力し、時間の単位を選択します。
    • デフォルトの有効期限(Default expiry length):期間を入力し、時間の単位を選択します。
    • 文字の長さ(Character length):TACに表示する文字数を入力します。
    • コードの複雑さ(Code complexity):TACに含めるオプションを選択します。
      • 数値(Numbers):TACに数値を含めます。これはNIST要件です。
      • 文字(Letters):TACに文字を含めます。
      • 特殊文字(Special characters):TACに特殊文字を含めます。
    • 複数回使用コードを許可する(Allow multi-use codes):ユーザーが自分のTACを複数回使用できるようにするには、管理者が複数回使用コードを作成することを許可する(Allow Admin to create multi-use codes)を選択します。

  2. 追加(Add)をクリックします。Authenticatorが設定(Setup)タブのリストに表示されます。

authenticator登録ポリシーでTAC authenticatorステータスを変更する

OktaでTAC authenticatorを追加すると、authenticator登録ポリシーに任意(Optional)のステータスで自動的に追加されます。このステータスは、ユーザーのグループに対してTACを生成できることを意味します。ユーザーのグループがTACSを利用できないようにするときは、ステータスを 無効(Disabled) に変更できます。このauthenticatorのステータスを必須(Required)に設定することはできません。authenticator登録ポリシーに指定されている場合でも、ユーザーはこのauthenticatorへの登録を求められません。このauthenticatorを無効にすると、OktaのサインインページにTACのプロンプトが表示されなくなります。TACを生成するオプションは引き続きユーザーのUniversal Directory(UD)プロファイルに表示され、管理者は引き続きユーザーのTACを生成できます。

  1. Admin Consoleで、セキュリティ(Security) > Authenticatorに移動します。

  2. 登録(Enrollment)タブをクリックします。
  3. ポリシーを作成するか、既存のポリシーを編集します。Authenticator登録ポリシーを作成するを参照してください。

  4. デフォルトでは、ステータスは任意(Optional)に設定されます。無効にするには、ステータスを無効(Disabled)に設定します。以前に無効にしていた場合、再度有効にするには任意(Optional)を選択します。

アプリ・サインイン・ポリシーでTACを必須にする

  1. アプリ・サインイン・ポリシーを作成します。アプリ・サインイン・ポリシーを作成するを参照してください。
  2. アプリ・サインイン・ポリシー・ルールを追加します。アプリ・サインイン・ポリシー・ルールを追加するを参照してください。
  3. ユーザーが認証に使用する要素(User must authenticate with)セクションでオプションを選択します。
  4. 認証方法(Authentication methods)セクションで、特定の認証方法を許可する(Allow specific authentication methods)を選択し、フィールドにTemporary Access Codeを入力します。
  5. 認証のためのプロンプト(Prompt for authentication)(Prompt for password authentication)セクションでユーザーがリソースにサインインするたび(Every time user signs in to resource)を選択します。

認証方法チェーンにTAC authenticatorを含める

認証方法チェーンを使用すると、構成した順序でAuthenticatorを使用してユーザーにIDの確認を要求できます。認証方法チェーン(Authentication method chain)を参照してください。

  1. アプリ・サインイン・ポリシー・ルールでユーザーが認証に使用する要素(User must authenticate with)ドロップダウンメニューに移動し、認証方法チェーン(Authentication method chain)を選択します。
  2. 認証方法の1つとして一時アクセスコード(Temporary Access Code)を選択します。TACを求められる前にユーザーに別の方法で認証させたい場合は、その方法を最初の認証方法として選択します。2番目の方法として一時アクセスコード(Temporary Access Code)を選択します。
  3. ユーザーがリソースにサインインするたび(Every time user signs in to resource)を選択します。
  4. 必要に応じてその他の設定を構成します。

TAC authenticatorを編集または削除する

Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

  1. Authenticator(Authenticators)で、設定(Setup)タブに移動します。
  2. Authenticatorの横にあるアクション(Actions)ドロップダウンメニューを開き、編集(Edit)または削除(Delete)を選択します。

TACの作成

ユーザーが一度に持てるアクティブTACは1つです。TACを作成すると、既存のTACは自動的に取り消されます。

  1. Admin Consoleで、ディレクトリ(Directory) > ユーザー(People)に進みます。

  2. TACを作成する人を探します。
  3. その他のアクション(More actions)メニューから、一時アクセスコードを作成(Create Temporary Access Code)を選択します。
  4. ダイアログで、TACの有効期間を構成します。長さフィールドに、許容される最小値と最大値の範囲内で値を入力します。構成オプションセクションをご覧ください。
  5. 時間の単位(unit of time)ドロップダウンメニューからオプションを選択します。
  6. 一度だけ使用(One-time use)または複数回使用(Multi-use)を選択します。これらのオプションは、このauthenticatorの構成時に複数回使用TACを有効にした場合に表示されます。
  7. コードを作成(Create code)をクリックします。
  8. OktaはTACを表示します。このコードを渡す前に、必ずユーザーのIDを確認してください。
  9. ユーザーのAuthenticatorをリセットするには、Authenticatorをリセット([Reset authenticators)をクリックします。これは、ユーザーがデバイスを紛失した場合に役立ちます。
  10. TACを直ちに取り消すには、コードを期限切れにする(Expire code)をクリックします。別のTACを作成するには、この手順を繰り返します。
  11. 閉じる(Close)をクリックします。

既存のTACのAuthenticatorをリセットしコードを期限切れにする

この手順は、ユーザーに既存のTACがある場合にのみ実行できます。この手順を実行する前に、TACの作成の手順を完了してください。

  1. Admin Consoleで、ディレクトリ(Directory) > ユーザー(People)に進みます。

  2. TACを作成したユーザーを検索します。
  3. その他のアクション (More actions)メニューから、アクティブな一時アクセスコードの詳細を表示する(View active Temporary Access Code details)を選択します。一時アクセスコード(Temporary Access Code)ダイアログが表示されます。
  4. ユーザーのAuthenticatorをリセットするには、Authenticatorをリセット(Reset authenticators)をクリックします。これは、ユーザーがデバイスを紛失した場合に役立ちます。
  5. TACを直ちに取り消すには、コードを期限切れにする(Expire code)をクリックします。別のTACを作成するには、TACの作成の手順を実行します。
  6. 閉じる(Close)をクリックします。

エンドユーザーエクスペリエンス

  1. ユーザーがヘルプデスクに電話して、TACを要求します。以下のような状況を含め、このコードを要求する理由はたくさんあるでしょう。
    • ユーザーがYubiKeyを自宅に忘れた。
    • ユーザーが新しい従業員でオンボーディング中である。まだauthenticatorを登録していない。
    • セキュリティ方式で認証できず、アカウントがロックされている。
  2. ヘルプデスクエージェントは、電話または組織が選択した別の方法でユーザーのIDを確認します。
  3. ヘルプデスクエージェントがユーザーのIDを正常に確認すると、TACを作成してユーザーに提供します。
  4. エンドユーザーは、Oktaサインインページに移動します。
  5. Sign-In WidgetからTACの入力を求められたら、ユーザーはTACを入力します。また、サインインポリシーで求められる場合は、別の方法での認証が必要になる可能性もあります。
  6. ユーザーは、Oktaまたはアプリへのアクセスを取得します。

関連項目

グローバルセッションポリシー

アプリ・サインイン・ポリシー(App sign-in policies)

Authenticator登録ポリシー