アップグレードに関する重要な考慮事項

Identity Engineにアップグレードする前に、以下の点に注意してください:

Classic Engine組織でプッシュとTOTPがすでに有効になっている場合にIdentity Engineにアップグレードする

  • プッシュおよび一時ワンタイム・パスワード(TOTP)要素へのユーザーの登録を継続:アップグレード前にプッシュおよびTOTP要素に登録済みのエンド・ユーザーは、アップグレード後も引き続きこれらの要素に登録されます。モバイル・デバイスでは、アプリのサインオン・ポリシーでハードウェア保護制約が有効になっている場合、Okta Verify with Pushでの登録がIdentity Engineで機能しません(Identity EngineのDevice Trustに関する既知の問題を参照)。また、エンド・ユーザーに対してOkta Verifyで追加の設定が表示される場合があります。
  • ユーザーはOkta Universal Directoryにデバイスを登録可能:Identity Engine組織でOkta Verifyに登録すると、OktaによってOkta Universal Directoryにデバイス・レコードが作成され、ユーザーがデバイスとOkta Verifyアプリ・インスタンスにバインドされます。これでデバイスが登録されました。登録されたデバイスはOktaで[ディレクトリ] > [デバイス]に表示されます。デバイスの登録が必要になるように構成されたアプリにアクセスを試行する際、場合によっては、ユーザーがデバイスの登録を行う必要があります。
  • ユーザーはOkta Verifyに複数のデバイスを登録可能:Classic Engineでのユーザー1人につきデバイス1台の制限とは異なり、Identity Engine組織のエンド・ユーザーはOkta Verifyに複数のデバイスを登録することができます。エンド・ユーザーが追加のデバイスでOkta Verifyに新しいアカウントを追加する場合、次のことが行われます:
    • 新しいデバイスで自動的にプッシュ要素とTOTP要素に登録されます。
    • Oktaでは、ユーザーをデバイスとOkta Verifyアプリ・インスタンスにバインドするデバイス・レコードをOkta Universal Directoryに作成することで、デバイスを登録します。

ユーザーが1つのOkta Verifyアカウントを取得済みの場合にIdentity Engineにアップグレードする

  • アカウントは以前と同じように機能します。
  • Identity Engineにアップグレードすると、ユーザーは同一のOkta組織に別のOkta Verifyアカウントを追加できなくなります。
  • アプリの[アカウント詳細]で、[このデバイス]という認証方法に[セットアップ]ボタンが表示されます。このボタンを使用すると、ユーザーはOkta Verifyアカウントでデバイスを有効にして、オーセンティケーターとして使用できるようになります(サインイン方法)。ユーザーがほかのアカウントで[セットアップ]をクリックすると、エラーが表示され、そのアカウントで認証方法が有効になりません。

ユーザーが単一の組織で複数のOkta Verifyアカウントを有する場合にIdentity Engineにアップグレードする

Identity Engine組織では、組織ごとに複数のOkta Verifyアカウントを追加することはサポートされていません。ただし、Classic EngineからIdentity Engineのアップグレードするシナリオで、Classic Engine組織内でユーザーが複数のOkta Verifyアカウントを作成した場合、以下の予想される動作が適用されます。

Okta Classic組織のユーザーがその組織のOkta Verifyアカウントを2つ持っていて、組織がIdentity Engineにアップグレードされたとします。

  • 両方のアカウントが以前と同じように機能します。
  • どちらのアカウントでも、アプリの[アカウントの詳細]の[このデバイス]の認証方法に[セット・アップ]ボタンが表示されます。このボタンを使用すると、Classic Engineで作成したOkta Verifyアカウントの1つで、ユーザーのデバイスをオーセンティケーター(サインインの方法)として使用できるようになります。このようなアカウントのうち1つを更新した後に、ユーザーが[セット・アップ]をクリックしてほかのアカウントの方法を有効にした場合、エラーが表示され、そのアカウントではこの方法は有効になりません。これは予想される動作です。

Identity EngineからClassic Engineに戻す

Oktaサポートに組織をClassic Engineに戻すように依頼した場合、Identity Engineにアップグレードする前にClassic Engine組織でこれらの要素が有効であったかどうかにかかわらず、プッシュとTOTPはデフォルトで引き続き有効になります。こうした処置が不要な場合は、組織でOkta Verifyを非アクティブ化してください。[セキュリティー] > [多要素] > [要素タイプ]に移動し、Okta Verifyを選択してから[非アクティブ化]を選択します。

関連項目