メールを任意のAuthenticatorにする

早期アクセスリリース。セルフサービス機能を有効にするを参照してください。

この機能により、Admin Consoleから直接アカウントの復旧やロック解除をする場合など、メールAuthenticator設定をより詳細に制御できます。エンドユーザーは、End-User DashboardでメールAuthenticatorの登録を管理できます。

認証の仕組み

Authenticator登録ポリシーの設定内容に応じて、メールAuthenticatorは自動登録されるか、エンドユーザーの登録オプションとして使用できるようになります。次の表では、登録の仕組みついて説明します。

メール設定

登録動作
必須 ユーザーのプライマリメールアドレスは自動登録されます。
オプション ユーザーは、プライマリメールアドレスをAuthenticatorとして使用する場合には、プライマリメールアドレス登録する必要がある場合があります。
無効 ユーザーは、アカウント復旧にプライマリメールアドレスが必要な場合には、プライマリメールアドレスを登録するよう要求される場合がありますが、プライマリメールアドレスを認証に使用することはできません。

アカウント復旧の仕組み

セルフサービスのアカウント復旧を構成した場合は、エンドユーザーがパスワードのリセットまたはアカウントのロック解除に使用できるAuthenticatorを指定する必要があります。エンドユーザーは、これらのAuthenticatorのうちの少なくとも1つを登録する必要があります。メールがアカウント復旧用に指定した唯一のAuthenticatorである場合、登録なしでの復旧を有効にしたのでない限り、エンドユーザーはメールをAuthenticatorとして登録する必要があります。

登録と復旧設定

次の設定を使用して、エンドユーザーのメール登録と復旧動作を管理できます。

  • 可能な場合はアカウントプロファイルメールを使用して自動登録する(Auto-enroll using account profile email when possible):この設定は、OktaがエンドユーザーのメールをAuthenticatorとして自動登録するかどうかを決定します。
  • メールAuthenticatorが登録されていない場合でもユーザーのプライマリおよびセカンダリメールアドレスに復旧メールを送信する(Send recovery email to user's primary and secondary email addresses even when the email authenticator has not been enrolled):この設定により、メールがAuthenticatorとして登録されていない場合でも、エンドユーザーのメールに復旧メールを送信できます。

構成によってユーザーアクセスが妨げられたり、復旧パスがブロックされたりしていないことを確認するには、次のシナリオを確認します。

ロックアウトの可能性

次の条件が満たされる場合、エンドユーザーはパスワードを復旧できず、管理者にサポートを依頼する必要があります。

  • メールが唯一の復旧要素として構成されている
  • ユーザーがメールで自動登録されない
  • ユーザーは登録なしで復旧できない

自動登録の選択動作

  • 自動登録(Auto-enroll)チェックボックスをクリアすることで、メールAuthenticatorが自動的に登録されなくなります。
  • このチェックボックスを選択することで、自動登録が保証されるわけではありません。登録は、メールが復旧に必要な場合、ユーザーがメール検証を完了する場合、または管理者がユーザープロファイルを更新する場合にのみ行われます。

Oktaアカウント管理ポリシー

orgがOktaアカウント管理ポリシーを使用し、自動登録(Auto-enroll)チェックボックスがオフの場合、ユーザーがメールAuthenticatorを手動で登録する場合にのみ、メール復旧オプションを使用できます。

メールの自動登録を無効にする

  1. セキュリティ(Security) > Authenticatorに移動します。
  2. 登録(Enrollment)タブで更新するポリシーを選択し、アクション(Actions) > 編集(Edit)をクリックします。たとえば、デフォルトポリシー(Default Policy)です。
  3. Authenticatorの下のメール(Email)セクションで、登録(Enrollment)無効(Disabled)または任意(Optional)のいずれかを選択します。
  4. 可能な場合プロファイルメールを使用して自動登録する(Auto-enroll using profile email when possible)のチェックボックスをオフにします。
  5. 下にスクロールして、ポリシーを更新(Update policy)をクリックします。

登録なしで復旧を有効にする

ユーザーがメールをAuthenticatorとして登録していない場合でも、エンドユーザーがパスワードリセットとアカウントのロック解除メールをプライマリプロファイルメールに受信できるようにする設定を構成できます。

未登録のメールの復旧メールを構成するには、次の手順を実行します。

  1. セキュリティ(Security) > Authenticatorに移動します。
  2. 設定(Setup)タブで、パスワード(Password)Authenticatorを見つけ、アクション(Actions) > 編集(Edit)をクリックします。
  3. デフォルトポリシー(Default Policy)を選択し、更新するルールを選択します。たとえば、デフォルトルール(Default Rule)です。
  4. 復旧Authenticator(Recovery Authenticator)の下のアクセスコントロール(Access control)セクションで、このルール(レガシー)(This rule(legacy))を選択します。
  5. およびユーザーは次を使用してリカバリーを開始可能オプション(AND Users can initiate recovery with option)で、メール(Email)チェックボックスを選択し、 メールAuthenticatorが登録されていない場合でもユーザーのプライマリおよびセカンダリメールアドレスに復旧メールを送信する(Send recovery email to user's primary and secondary email addresses even when the email authenticator has not been enrolled)チェックボックスを選択します。このチェックボックスを選択すると、エンドユーザーは復旧リンクを受信することができます。
  6. 下にスクロールして、ルールを更新(Update rule)をクリックします。

新規ユーザーのメールの自動登録をスキップする

Oktaでユーザーを作成するときに、ユーザーのメールAuthenticatorを登録するかどうかを選択できます。

  • ユーザーのメールをAuthenticatorとして自動登録する場合:アクティベーションリンク(すぐにアクティブ化(Activate now)または後でアクティブ化(Activate later)オプション)を使用してユーザーをアクティブ化します。
  • ユーザーのメールをAuthenticatorとして自動登録しない場合:パスワードを設定する(I will set password)オプションを使用してユーザーのパスワードを設定します。

ユーザーのメールAuthenticatorをリセットする

メール(Email) セクションで 登録(Enrollment)オプションが任意(Optional)または必須(Required)に設定されていて、ユーザーのメールAuthenticatorが登録されている場合、Directory > ユーザー(People)でユーザーのメールAuthenticatorをリセットできます。

ユーザーをクリックしてユーザーのプロファイルページに移動します。プロファイルページで、その他のアクション(More Actions) > Authenticatorをリセット(Reset Authenticator)に移動します。

エンドユーザーエクスペリエンス

エンドユーザーは、Okta End-User DashboardでメールAuthenticatorの登録を管理できます。エンドユーザーがプライマリメールを正常に変更すると、登録済みのAuthenticatorは自動更新されます。エンドユーザーは、メールの代わりに別のAuthenticatorをアカウント復旧用に登録することもできます。

エンドユーザーエクスペリエンスは、可能な場合はアカウントプロファイルメールを使用して自動登録する(Auto-enroll using account profile email when possible)設定をどのように構成したかによって異なります。

  • 自動登録(Auto-enroll)チェックボックスが選択されていない場合:ユーザーにはメールがオプションのAuthenticatorとして表示され、メールを自動登録するのではなく、ログイン時に登録することを選択できます。
  • 自動登録(Auto-enroll)チェックボックスが選択されている場合:ユーザーが自動登録される場合があります。

メールAuthenticatorを登録または削除する

エンドユーザーは、設定(Settings) > セキュリティ方式(Security Methods)でメールAuthenticatorを登録または削除できます。

ただし、ユーザーがセルフサービスのアカウント復旧または登録ポリシーの要求に従ってメールAuthenticatorを削除した場合、次回のサインイン時に再登録するよう求められたり、メールAuthenticatorが自動登録されたりする可能性があります。

ユーザーがメールをAuthenticatorとして登録し、プライマリメールアドレスを正常に変更した場合、新しいメールアドレスがAuthenticatorとして古いメールに自動的に置き換わります。