パスワードレスサインインエクスペリエンスをセットアップする
サインアッププロセスを迅速化し、セキュリティを向上させるには、ユーザーのパスワードが任意のエクスペリエンス、またはパスワードレスエクスペリエンスを作成します。
パスワードは、セキュリティ侵害の一般的な原因です。パスワードを任意または無効にすることで、所有ベースのAuthenticatorまたは生体認証の使用をユーザーに求めることができます。セルフサービス登録時にパスワードのセットアップが必要なくなることで、登録を諦めるユーザーの数を減らすことができます。
Authenticator登録ポリシーで、パスワードを任意または無効にするグループを指定します。これらのグループのユーザーは、パスワードをセットアップすることなくorgに登録や認証できます。
開始する前に
- ユーザーを作成するか、セルフサービス登録を使って登録させます。LDAPユーザーはサポートされません。
- パスワードレスユーザーに従来のRADIUS認証を使用することはできません。RADIUS認証では、プライマリ認証メカニズムとしてパスワードが使用されます。アプリケーション設定プロパティの[Oktaでプライマリ認証を実施]をクリアした後であれば、RADIUS認証のその他の要素を使用できます。「OktaのRADIUSアプリケーション」の「二要素認証のみ(パスワードレスモード)」を参照してください。
- この機能を無効にすると、登録済みパスワードを持たないユーザーはシームレスにロールバックされません。代わりに移行が必要になります。パスワードレスユーザーがいる場合は、この機能を無効にする前にサポートまでお問い合わせください。
パスワードレスのセルフサービス登録
orgに存在しないユーザーがセルフサービスで登録した場合は、プロファイル登録ポリシーで指定したグループに追加されます。これらのユーザーにパスワードが必要であるかどうかは、これらのグループに対応するAuthenticator登録ポリシーによって決まります。
ポリシーによって求められる場合、ユーザーはパスワードを登録する必要があります。パスワードがオプションまたは無効にセットアップされている場合、ユーザーはパスワードを登録することなくサインアップできます。ただし、ポリシーによって求められるその他のAuthenticatorには登録する必要があります。
管理者が作成するユーザーのパスワードレス認証
Authenticatorを登録することなくユーザーを作成した場合、ユーザーはアクティベーションメールを受信します。このメールには、アカウントのアクティブ化とorgへの認証に利用できるマジックリンクが含まれます。作成されるユーザーのステータスは、[Pending user action(ユーザーアクション保留中)]となります。
ユーザーを作成してパスワードを設定する、またはYubiKeyを登録すると、ユーザーは[Active(アクティブ)]に設定されます。この場合、ユーザーはアクティベーションメールを受信しません。ユーザーは、登録済みのAuthenticatorを使って自分のorgに直接サインインできます。
ユーザーにパスワードが必要かどうかを決定するには、
に移動します。ユーザーアカウントのステータスは、次のいずれかとなります。- [Password expired(パスワードの期限切れ)]:ユーザーはパスワードを必要とし、管理者がパスワードを提供します。ユーザーは、初めてサインインするときに、管理者が提供するパスワードを変更する必要があります。
- [Pending user action(ユーザーアクション保留中)]:ユーザーには管理者が登録したAuthenticatorがありません。ユーザーはアクティベーションメールを受信します。
- [Active(アクティブ)]:ユーザーはパスワードまたはYubiKeyを必要とし、管理者がこれを提供します。または、ユーザーはパスワードを必要とせず、管理者はパスワードを提供しません。
- [Pending user action. User password selection required(ユーザーアクション保留中。ユーザーのパスワード選択が必要です]:別のorgから同期されるパスワードレスユーザーは、このステータスになる可能性があります。これらのユーザーはアクティベーションメールを受信します。グループメンバーシップとAuthenticator登録ポリシーが求める場合は、パスワードの登録が必要になる可能性があります。
ベストプラクティス
管理者がパスワードを使用できることを確認する
- 管理者用に別のグループを作成します。
- このグループ用に、別のAuthenticator登録、グローバルセッション、認証ポリシーを作成します。
- グループのAuthenticator登録ポリシーに最高の優先順位を設定します。Authenticator登録ポリシーのリストの最上位(番号1)までドラッグします。
意図したユーザーのみがパスワードレスでサインインできるようにする
- パスワードレスユーザー用に別のグループを作成します。
- このグループ用に、別のAuthenticator登録、グローバルセッション、認証ポリシーを作成します。
- グループのAuthenticator登録ポリシーに2番目の優先順位を設定します。Authenticator登録ポリシーのリストで、デフォルトポリシーのすぐ上の位置までドラッグします。これにより、パスワードレスユーザーは、そのためのAuthenticator登録ポリシーの対象となり、デフォルトポリシーの適用対象から外れます。
- デフォルトポリシーがパスワードをAuthenticatorとして必要とすることを確認します。
- メインの管理者アカウントを、パスワードレスポリシーから明示的に除外します。
この手順を開始する
ポリシーを構成してパスワードを任意または無効に設定します。その上で、パスワードを必要としないユーザーを作成します。パスワードを使用する既存のユーザーからパスワード要件を削除することもできます。
ポリシーを構成してパスワードを任意または無効に設定する
- メールAuthenticatorを構成します。Authentication and recovery(認証と復旧)での使用を設定します。
- 認証ポリシーを作成します。
-
エンドユーザーがパスワードレスで認証できるように、認証ポリシールールを追加します。
- [User must authenticate with(ユーザーが認証に使用する要素)]を、任意の1要素タイプまたは任意の2要素タイプのオプションに設定します(明示的にパスワードが必要なものを除く)。
- 2要素を使用するときは、「パスワードをレスユーザー向けのMFAを構成する」を参照してください。
- パスワードレスユーザーのAuthenticatorとしてOkta Verifyを使用するときは、[User Verification(ユーザー検証)]を[Required(必須)]に設定します。「Okta Verifyオプションを構成する」を参照してください。
- グローバルセッションポリシーを作成します。
- グローバルセッションポリシールールを追加して、[Establish the user session with(次を使用してユーザーセッションを確立)]を [Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]に設定します。
-
Authenticator登録ポリシーを作成します。必要時の認証用に少なくとも1つのAuthenticatorを有効にします。必要に応じてその他のAuthenticatorをセットアップします。
- パスワードが[Optional(任意)]または[Disabled(無効)]に設定されている場合、認証用のスタンドアロンAuthenticatorとしてセキュリティ質問を[Required(必須)]に設定することはできません。ただし、アカウントの復旧では許可されます。
- [User Enumeration Prevention(ユーザーによる列挙の防止)]を有効にしている場合、特定のデバイスからorgに初めてサインインするユーザーには、パスワードまたはメールの入力を求めるサインインプロンプトが表示されます。サインインエクスペリエンスを簡略化するために、 でこの設定を無効にすることもできます。ただし、パスワードを持たないユーザーは、引き続きAuthenticatorとしてメールを使ってサインインできます。
パスワードが任意またはパスワードレスのユーザーを作成する
-
Admin Consoleで に移動します。
- [Add Person(ユーザーの追加)]をクリックします。
- [User type(ユーザータイプ)]を選択するか、デフォルトを受け入れます。「Okta Universal Directoryのカスタムユーザータイプ」を参照してください。
- パスワードが任意またはパスワードレスの登録ポリシーに対応するグループにユーザーを割り当てます。
- その他のフィールドに入力します。
- [Activation(アクティブ化)]フィールドで[Activate now(すぐにアクティブ化)]を選択します。
- [Password(パスワード)]フィールドで[I will set the password(パスワードを設定する)]をクリアします。
- [Save(保存)]をクリックします。
パスワードを使用しているユーザーをパスワードが任意またはパスワードレスのユーザーに移行する
ユーザーのパスワード登録を削除するには、[person(ユーザー)]で に移動します。
に移動します。ユーザーに適用されるAuthenticator登録ポリシーがパスワードを求める場合、ユーザーのパスワードは削除できません。同様に、該当するすべてのポリシーでユーザーのパスワードが無効化されている場合、ユーザーのパスワードは設定またはリセットできません。
エンドユーザーエクスペリエンス
パスワードが任意またはパスワードレスのエクスペリエンスを構成すると、ユーザーはパスワードレスでサインインまたは登録できるようになります。
パスワードレスで初めてサインインする
管理者が作成するユーザーは、管理者によるアカウントの作成時にアクティブ化メールを受信しません。メールは、管理者がアカウントの作成時に指定したアドレスに送信されます。ユーザーは、メール内のマジックリンクをクリックするか、OTPを入力してメールアドレスを検証します。ユーザーには、Authenticator登録ポリシーが求めるセキュリティ方式のセットアップが求められます。セキュリティ方式をセットアップすると、orgやリソースにアクセスできるようになります。
パスワードレスでセルフサービス登録する
orgに存在しないユーザーは、メールマジックリンクと任意のパスワードセットアップを使って登録できます。ユーザーは、アプリのサインオンページで名前とメールアドレスを入力します。メールのマジックリンクはこのアドレスに送信されます。ユーザーは、リンクをクリックするか、OTPを入力してメールアドレスを検証します。
Authenticator登録ポリシーで任意のAuthenticatorとしてアプリが構成されている場合、アプリではパスワードの作成が求められます。ユーザーには、ポリシーが求めるセキュリティ方式のセットアップも求められます。セキュリティ方式をセットアップすると、ユーザーが登録されます。
End-User Dashboardでパスワードを削除する
Authenticator登録ポリシーで認められている場合、ユーザーは[Security Methods(セキュリティ方式)]セクションで[Password(パスワード)]を選択し、[Remove(削除)]をクリックします。パスワードは、同じ設定からセットアップし直すことができます。
に移動してセキュリティ方式としてのパスワードを削除できます。