パスワードなしサインインエクスペリエンスをセットアップする
エンドユーザー向けに、パスワードがオプションまたはパスワードなしのエクスペリエンスを作成できます。これにより、サインアッププロセスが迅速になり、セキュリティも向上します。
-
パスワードは、セキュリティ侵害の一般的な原因です。パスワードをオプションまたは無効にすることで、所有ベースのオーセンティケーターや生体認証などの、より強力なオーセンティケーターをユーザーに使用させることができます。
-
アプリの自己登録プロセス中にパスワードをセットアップする必要がなくなることで、プロセス中の手間が減り、登録を諦めるユーザーの数を減らすことができます。
仕組み
この設定は、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]>[Enrollment(登録)]のグループレベルで適用されます。オーセンティケーター登録ポリシーで特定のグループをターゲットにして、ユーザーがパスワードをセットアップしなくても登録および認証できるようにすることができます。
管理者が作成したユーザー
ユーザーをパスワード付きで作成するか、パスワードなしで作成するかは、以下によって決まります。
- オーセンティケータ-登録ポリシー
- ユーザーの作成時に指定したグループメンバーシップ
次の両方の条件が満たされる場合、ユーザーはリンクが記載されたメールを受け取り、そのリンクから各自のorgにアクセスしてパスワードを登録できます。
- 指定されたグループに対応する、最初に一致したオーセンティケーター登録ポリシーでパスワードが要求されている。
- 管理者がユーザーアカウントの作成時にパスワードを提供しなかった。
次の両方の条件を満たす場合、ユーザーはアクティブに設定され、自分のOrgに直接サインインできます。
- オーセンティケータ-登録ポリシーでユーザーにパスワードが必要であることが指定されている。
- 管理者がパスワードを提供している。
この場合、ユーザーはアクティベーションメールを受信しません。管理者が提供するパスワードを使用して、自分のOrgに直接サインインできます。
オーセンティケータ-登録ポリシーでユーザーのパスワードがオプションまたは無効であると指定されている場合、そのユーザーはアカウント作成時にアクティブに設定されます。この場合、ユーザーはアクティベーションメールを受信せず、パスワードを登録する必要はありません。ユーザーは、メールをオーセンティケーターとして使用して、自分のOrgに直接サインインできます。
[Directory(ディレクトリ)]>[People(ユーザー)]で、次のようなユーザーアカウントのステータスに基づいて、ユーザーにパスワードが必要かどうかを確認できます。
ユーザーアカウントのステータス | 意味 |
---|---|
Password Expired(パスワードの有効期限切れ) | ユーザーにパスワードが必要で、管理者がパスワードを提供します。ユーザーは、初めてサインインするときに、管理者が提供したパスワードを変更する必要があります。 |
Pending User Action(ユーザーアクション保留中) | ユーザーにパスワードが必要ですが、管理者はパスワードを提供しません。パスワードを登録してorgにサインインできるように、メールマジックリンクがユーザーに送信されます。 |
Active(アクティブ) |
ユーザーにパスワードが必要で、管理者がパスワードを提供します。 または ユーザーにパスワードは不要で、管理者はパスワードを提供しません。 |
セルフサービスで登録されたユーザー
Orgにまだ存在せず、セルフサービスで登録されるユーザーは、プロファイル登録ポリシーで指定したグループに追加されます。
- これらのグループに対応するオーセンティケーター登録ポリシーでパスワードが必要な場合、ユーザーはパスワードを登録する必要があります。
- これらのグループに対応するオーセンティケーター登録ポリシーでパスワードがオプションまたは無効にセットアップされている場合、ユーザーはパスワードを登録せずにサインアップできます。
はじめに
-
OrgでMFAが有効になっている必要があります。
-
ユーザーはOktaをソースとします。ユーザーは、プロファイル登録を使用して、セルフサービス登録で自分のアカウントを作成できます。または、管理者がユーザーアカウントを作成することもできます。現在は、Active DirectoryやLDAPなどのほかのディレクトリをユーザーのソースにすることはできません。
ベストプラクティス
-
パスワードなしのエクスペリエンスを構成する前に、管理者が引き続き使用可能なパスワードを持っていることを確認してください。これにより、プロビジョニングされたパスワードを持っていないユーザーが誤ってサインインをブロックされることがなくなります。このためには、次の手順に従います。
-
管理者用に別のグループを作成します。
-
このグループ用に、別のオーセンティケーター登録、グローバルセッション、および認証ポリシーを作成します。
-
管理者グループのオーセンティケーター登録ポリシーに最高の優先順位を設定します。オーセンティケーター登録ポリシーのリストの最上位までドラッグしてください。最高優先順位のラベルは1です。
-
-
同様に、パスワードを持たないユーザーのみがパスワードなしでサインインできるようにし、ほかのすべてのユーザーにパスワードの入力を求めるようにするには、次の手順を実行します。
-
パスワードを持たないユーザー用に別のグループを作成します。
-
このグループ用に、別のオーセンティケーター登録、グローバルセッション、および認証ポリシーを作成します。
-
パスワードなしグループのオーセンティケーター登録ポリシーに2番目の優先順位を設定します。オーセンティケーター登録ポリシーのリストで、デフォルトポリシーのすぐ上の位置までドラッグしてください。これにより、パスワードを持たないユーザーは、そのためのオーセンティケーター登録ポリシーの対象となり、デフォルトポリシーの適用対象から外れます。
-
デフォルトポリシーは、オーセンティケーターとして常にパスワードを必要とします。
-
-
メインの管理者アカウントを、パスワードなしのポリシーから明示的に除外します。
この手順を開始する
この手順には、管理者用とエンドユーザー用の2種類のタスクが含まれています。パスワードをオプションまたは無効にするポリシーを構成すると、パスワードを必要としないユーザーを作成できるようになります。また、既存のパスワードを使用しているユーザーからパスワード要件を削除することもできます。エンドユーザーは、パスワードをセットアップせずに、セルフサービスで自身を登録できます。既存のユーザーは、Okta End-User Dashboardから自分のパスワードを削除できます。
管理者タスク
次のタスクを実行して、エンドユーザー向けに、パスワードがオプションまたは不要のエクスペリエンスを作成できます。
[User Enumeration Prevention(ユーザーによる列挙の防止)]を有効にしている場合、特定のデバイスからOrgに初めてサインインするユーザーには、パスワードまたはメールの入力を求めるサインインプロンプトが表示されます。サインインエクスペリエンスを簡素化するために、[Security(セキュリティ)]>[General(一般)]でこの設定を無効にすることもできます。ただし、パスワードを持たないユーザーは、引き続きメールをオーセンティケーターとして使用してサインインすることができます。
パスワードをオプションの要素または無効な要素としてポリシーを構成する
エンドユーザーがパスワードなしでサインインできるように、さまざまなポリシーを構成します。
-
メールをオーセンティケーターとして構成します。認証と復旧で使用するために設定します。「メールオーセンティケーターを構成する」を参照してください。
-
エンドユーザーがパスワードなしで認証できるように、認証ポリシーを構成します。[User must authenticate with(ユーザーが認証に使用する要素)]を、任意の1要素タイプまたは任意の2要素タイプのオプションに設定します(明示的にパスワードが必要なものを除く)。「認証ポリシールールを追加する」を参照してください。
2つの要素を使用する場合は、「パスワードを持たないユーザー向けのMFAを構成する」を参照してください。
パスワードを持たないユーザーのオーセンティケーターとしてOkta Verifyを使用する場合は、[User Verification(ユーザー検証)]を[Required(必須)]に設定します。「Okta Verifyオプションの構成」を参照してください。
-
グローバルセッションポリシーを構成して、[Establish the user session with(次を使用してユーザーセッションを確立:)]を [Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]に設定します。「グローバルセッションポリシールールを追加する」を参照してください。
-
オーセンティケーター登録ポリシーを構成して、メールを必須のオーセンティケーターとして設定します。必要に応じてほかのオーセンティケーターをセットアップします。「オーセンティケーター登録ポリシーを作成する」を参照してください。
メールが[Required(必須)]に設定されていない限り、パスワードを[Optional(任意)]または[Disabled(無効)]に設定することはできません。パスワードが[Optional(任意)]または[Disabled(無効)]に設定されている場合、認証用のスタンドアロンオーセンティケーターとしてセキュリティ質問を[Required(必須)]に設定することはできません。ただし、アカウント復旧では許可されます。
パスワードがオプションのユーザーまたはパスワードを持たないユーザーを作成する
-
Okta Admin Consoleで、[Directory(ディレクトリ)]>[People(ユーザー)]に進みます。
-
[Add Person(ユーザーの追加)]をクリックします。
-
[User type(ユーザータイプ)]リストからユーザータイプを選択するか、デフォルトを受け入れます。「Okta Universal Directoryのカスタムユーザータイプについて」を参照してください。
-
パスワードがオプションまたは不要の登録ポリシーに対応するグループにユーザーを割り当てます。
-
その他のフィールドに入力します。
-
[Activation(アクティブ化)]フィールドで、[Activate now(すぐにアクティブ化)]を選択します。
-
[Password(パスワード)]フィールドで、[I will set the password(パスワードを設定する)]をクリアします。
-
保存します。
ユーザーは、該当するオーセンティケーター登録ポリシーに基づいて追加されます。「オーセンティケーター登録ポリシーとルールについて」を参照してください。
エンドユーザーは、以下の「エンドユーザータスク」セクションで説明されているように、自身を登録できます。
パスワードを使用しているユーザーをパスワードがオプションのユーザーまたはパスワードを持たないユーザーに移行する
ユーザーのパスワード登録を削除するには、[Directory(ディレクトリ)]>[People(ユーザー)]>[person(ユーザー)]>[Reset or remove password(パスワードをリセットまたは削除)]>[Remove password(パスワードを削除)]に移動します。
エンドユーザーは、以下の「エンドユーザーエクスペリエンス」セクションで説明されているように、パスワードを削除することもできます。
ユーザーに適用されるオーセンティケーター登録ポリシーでパスワードが必要な場合、管理者はユーザーのパスワードを削除できません。同様に、該当するすべてのポリシーでユーザーのパスワードが無効になっている場合、管理者はユーザーのパスワードを設定またはリセットできません。
エンドユーザーエクスペリエンス
パスワードがオプションまたは不要のエクスペリエンスを構成した後に、エンドユーザーは次のタスクを実行できます。
(管理者が作成したエンドユーザー)パスワードなしで初めてサインインする
管理者がエンドユーザーのアカウントを作成しても、エンドユーザーはアクティベーションメールを受信しません。代わりに、Okta End-User Dashboardまたは検索エンジンからアプリに移動します。アプリにアクセスするには、次のことを行う必要があります。
-
エンドユーザーが自分のユーザー名を入力します。管理者がアカウントの作成時に指定したアドレスにメールが送信されます。
-
エンドユーザーが受信トレイに移動し、リンクをクリックするか、OTPを入力してメールアドレスを検証します。
-
アプリ内で、プロンプトに従ってセキュリティメソッドをセットアップします。オーセンティケーター登録ポリシーでセキュリティメソッドが必要な場合は、プロンプトが表示されます。
セキュリティメソッドをセットアップすると、アプリへのアクセスが許可されます。
パスワードなしでセルフサービスで登録する
Orgにまだ存在していないエンドユーザーは、メールマジックリンクとオプションのパスワードセットアップを使用して自身を登録できます。
-
エンドユーザーが、アプリのサインオンページに移動します。
-
自分の名前とメールアドレスを入力します。このアドレスにメールが送信されます。
-
受信トレイに移動し、リンクをクリックするか、OTPを入力してメールアドレスを検証します。
-
任意。アプリ内で、プロンプトが表示された場合は、エンドユーザーがパスワードをセットアップします。パスワードがオプション要素としてセットアップされている場合は、プロンプトが表示されます。パスワードが無効になっている場合、プロンプトは表示されません。
-
オーセンティケーター登録ポリシーでの必要性に応じて、エンドユーザーがその他の要素をセットアップします。
-
[Finish(終了)]をクリックします。
エンドユーザーが登録されました。
Okta End-User Dashboardでパスワード関連の変更を行う
オーセンティケーター登録ポリシーで許可されている場合、エンドユーザーはダッシュボードからオーセンティケーターとしてのパスワードを削除できます。
-
[Okta End-User Dashboard]> [Settings(設定)]に移動します。
-
[Security Methods(セキュリティメソッド)]セクションで、[Password(パスワード)]を選択してから[Remove(削除)]をクリックすることができます。
同じ設定から、パスワードを再度セットアップすることができます。
既知の問題
パスワードを持たないユーザーが作成されていない限り、この機能は、副次的な影響なしに有効化または無効化できます。この機能が無効になっている場合、登録されたパスワードを持たないユーザーは、シームレスにロールバックされません。代わりに、移行する必要があります。
パスワードを持たないユーザーがいる場合は、この機能を無効にする前にサポートにお問い合わせください。
-
別のorgから同期されたパスワードを持たないユーザーは、ステータスが[Pending user action. User password selection required(ユーザーアクション保留中。ユーザーのパスワード選択が必要です)]になる可能性があります。このようなユーザーは、アカウントのアクティベーションリンクを受け取ります。リンクをクリックすると、グループメンバーシップとオーセンティケーター登録ポリシーによっては、パスワードの登録が必要になる場合があります。
-
RADIUS認証では、プライマリ認証メカニズムとしてパスワードが使用されます。従来のRADIUS認証は、パスワードを持たないユーザーでは実行できません。アプリケーション設定プロパティの[Okta performs primary authentication(Oktaでプライマリ認証を実施)]がオフになっている場合は、RADIUSで認証のためにほかの要素を使用できます。「OktaのRADIUSアプリケーション」の「二要素認証のみ(パスワードなしモード)」を参照してください。
-
現在、この機能にはいずれかのMFA SKUが必要です。この機能を有効にした後にMFA SKUの使用をやめると、この機能も無効になります。ただし、これにより既存のポリシーで問題が発生する可能性があります。必要な場合は、Oktaサポートにお問い合わせください。