パスワードなしサインインエクスペリエンスをセットアップする
エンドユーザー向けに、パスワードがオプションまたは不要のサインインおよびサインアップエクスペリエンスを作成できます。これにより、サインアッププロセスが迅速になるだけでなく、セキュリティも強化されます。
-
パスワードは、セキュリティ侵害の一般的な原因です。パスワードをオプションまたは無効にすることで、所有ベースのオーセンティケーターや生体認証などの、より強力なオーセンティケーターをユーザーに使用させることができます。
-
アプリの自己登録プロセス中にパスワードをセットアップする必要がなくなることで、プロセス中の手間が減り、登録を諦めるユーザーの数を減らすことができます。
仕組み
この設定は、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]>[Enrollment(登録)]のグループレベルで適用されます。オーセンティケーター登録ポリシーで特定のグループをターゲットにして、ユーザーがパスワードをセットアップしなくても登録および認証できるようにすることができます。
管理者が作成したユーザー
ユーザーをパスワードを使用して作成するか、パスワードを使用せずに作成するかは、オーセンティケーターの登録ポリシーと、ユーザーの作成時に指定したグループメンバーシップによって異なります。
指定されたグループに対応する、最初に一致したオーセンティケーター登録ポリシーでパスワードが必要とされ、ユーザーアカウントの作成時に管理者によってパスワードが提供されていない場合、ユーザーは、orgへのアクセスとパスワードの登録のために使用できるリンクが含まれたメールを受信します。
オーセンティケーター登録ポリシーでユーザーにパスワードが必要であることが指定されていて、管理者によってパスワードが提供されている場合、ユーザーはアクティブに設定され、orgに直接サインインできます。アクティベーションEメールは送信されず、ユーザーは管理者が提供したパスワードを使用して自分のorgに直接サインインできます。
オーセンティケーター登録ポリシーでユーザーのパスワードがオプションまたは無効であると指定されている場合、ユーザーはアカウントの作成時にアクティブに設定されます。アクティベーションEメールは送信されず、ユーザーはパスワードを登録する必要はありません。ユーザーは、メールをオーセンティケーターとして使用して、自分のorgに直接サインインできます。
[Directory(ディレクトリ)]>[People(ユーザー)]で、次のようなユーザーアカウントのステータスに基づいて、ユーザーにパスワードが必要かどうかを確認できます。
ユーザーアカウントのステータス | 意味 |
---|---|
Password Expired(パスワードの有効期限切れ) | ユーザーにパスワードが必要で、管理者がパスワードを提供します。ユーザーは、初めてサインインするときに、管理者が提供したパスワードを変更する必要があります。 |
Pending User Action(ユーザーアクション保留中) | ユーザーにパスワードが必要ですが、管理者はパスワードを提供しません。パスワードを登録してorgにサインインできるように、メールマジックリンクがユーザーに送信されます。 |
Active(アクティブ) | ユーザーにパスワードが必要で管理者がパスワードを提供するか、ユーザーにパスワードは不要でパスワードは提供されません。 |
セルフサービスで登録されたユーザー
orgにまだ存在せず、セルフサービスで登録されるユーザーは、プロファイル登録ポリシーで指定したグループに追加されます。
これらのグループに対応するオーセンティケーター登録ポリシーでパスワードが必要な場合、ユーザーはパスワードを登録する必要があります。
これらのグループに対応するオーセンティケーター登録ポリシーでパスワードがオプションまたは無効にセットアップされている場合、ユーザーはパスワードを登録せずにサインアップできます。
開始する前に
-
MFA SKUの1つを有効にする必要があります。
-
ユーザーはOktaをソースとします。ユーザーは、プロファイル登録を使用して、セルフサービス登録で自分のアカウントを作成できます。または、管理者がユーザーアカウントを作成することもできます。現在は、Active DirectoryやLDAPなどのほかのディレクトリをユーザーのソースにすることはできません。
ベストプラクティス
-
パスワードなしのエクスペリエンスを構成する前に、管理者が引き続き使用可能なパスワードを持っていることを確認してください。これにより、プロビジョニングされたパスワードを持っていないユーザーのサインインが誤ってブロックされることがなくなります。このためには、次の手順に従います。
-
管理者用に別のグループを作成します。
-
このグループ用に、別のオーセンティケーター登録、グローバルセッション、および認証ポリシーを作成します。
-
オーセンティケーター登録ポリシーで、このグループを最高の優先度(1番)に配置します。
-
-
同様に、パスワードを持たないユーザーのみがパスワードなしでサインインできるようにして、ほかのすべてのユーザーにはパスワードの入力を求めるプロンプトを適切に表示するために、次の手順を実行します。
-
パスワードを持たないユーザー用に別のグループを作成します。
-
このグループ用に、別のオーセンティケーター登録、グローバルセッション、および認証ポリシーを作成します。
-
オーセンティケーター登録ポリシーで、このグループを最低の優先度(デフォルトポリシーのすぐ上)に配置します。
-
パスワードを持たないユーザーに誤ってデフォルトポリシーが適用されないようにします。デフォルトポリシーでは、必須のオーセンティケーターとして常にパスワードが必要です。
-
-
メインの管理者アカウントを、パスワードなしのポリシーから明示的に除外します。
この手順を開始する
この手順には、管理者用とエンドユーザー用の2種類のタスクが含まれています。パスワードをオプションまたは無効にするポリシーを構成すると、パスワードを必要としないユーザーを作成できるようになります。また、既存のパスワードを使用しているユーザーからパスワード要件を削除することもできます。エンドユーザーは、パスワードをセットアップせずに、セルフサービスで自身を登録できます。既存のユーザーは、Okta End-User Dashboardから自分のパスワードを削除できます。
管理者タスク
次のタスクを実行して、エンドユーザー向けに、パスワードがオプションまたは不要のエクスペリエンスを作成できます。
[User Enumeration Prevention(ユーザーによる列挙の防止)]を有効にしている場合、特定のデバイスからorgに初めてサインインするユーザーには、パスワードまたはメールの入力を求めるサインインプロンプトが表示されます。サインインエクスペリエンスを合理化するために、[Security(セキュリティ)]>[General(一般)]でこの設定を無効にすることもできます。ただし、パスワードを持たないユーザーは、引き続きメールをオーセンティケーターとして使用してサインインすることができます。
パスワードをオプションの要素または無効な要素としてポリシーを構成する
エンドユーザーがパスワードなしでサインインできるように、さまざまなポリシーを構成します。
-
メールをオーセンティケーターとして構成します。認証と復旧で使用するために設定します。「メールオーセンティケーターを構成する」を参照してください。
-
エンドユーザーがパスワードなしで認証できるように、認証ポリシーを構成します。[User must authenticate with(ユーザーが認証に使用する要素)]を、任意の1要素タイプまたは任意の2要素タイプのオプションに設定します(明示的にパスワードが必要なものを除く)。「認証ポリシールールを追加する」を参照してください。
-
2つの要素を使用する場合は、「パスワードを持たないユーザー向けのMFAを構成する」を参照してください。
-
パスワードを持たないユーザーのオーセンティケーターとしてOkta Verifyを使用する場合は、[User Verification(ユーザー検証)]を[Required(必須)]に設定します。「Okta Verifyオプションの構成」を参照してください。
-
-
グローバルセッションポリシーを構成して、[Primary factor(プライマリ要素)]を[Password / IDP / any factor allowed by app sign on rules(パスワード/IDP/アプリのサインオンルールで許可された任意の要素)]に設定します。「グローバルセッションポリシールールを追加する」を参照してください。
-
オーセンティケーター登録ポリシーを構成して、メールを必須のオーセンティケーターとして設定します。必要に応じてほかのオーセンティケーターをセットアップします。「認証登録ポリシーを作成する」を参照してください。
メールが[Required(必須)]に設定されていない限り、パスワードを[Optional(任意)]または[Disabled(無効)]に設定することはできません。パスワードが[Optional(任意)]または[Disabled(無効)]に設定されている場合、認証用のスタンドアロンオーセンティケーターとしてセキュリティ上の質問を[Required(必須)]に設定することはできません。ただし、アカウント復旧では許可されます。
パスワードがオプションのユーザーまたはパスワードを持たないユーザーを作成する
-
Okta Admin Consoleで、[Directory(ディレクトリ)]>[People(ユーザー)]に進みます。
-
[Add Person(ユーザーの追加)]をクリックします。
-
[User type(ユーザータイプ)]リストからユーザータイプを選択するか、デフォルトを受け入れます。「Okta Universal Directoryのカスタムユーザータイプについて」を参照してください。
-
パスワードがオプションまたは不要の登録ポリシーに対応するグループにユーザーを割り当てます。
-
その他のフィールドに入力します。
-
[Activation(アクティブ化)]フィールドで、[Activate now(すぐにアクティブ化)]を選択します。
-
[Password(パスワード)]フィールドで、[I will set the password(パスワードを設定する)]をクリアします。
-
保存します。
ユーザーは、該当するオーセンティケーター登録ポリシーに基づいて追加されます。「認証登録ポリシーとルールについて」を参照してください。
エンドユーザーは、以下の「エンドユーザータスク」セクションで説明されているように、自身を登録できます。
パスワードを使用しているユーザーをパスワードがオプションのユーザーまたはパスワードを持たないユーザーに移行する
ユーザーのパスワード登録を削除するには、[Directory(ディレクトリ)]>[People(ユーザー)]>[person(ユーザー)]>[Reset or remove password(パスワードをリセットまたは削除)]>[Remove password(パスワードを削除)]に移動します。
エンドユーザーは、以下の「エンドユーザーエクスペリエンス」セクションで説明されているように、パスワードを削除することもできます。
ユーザーに適用されるオーセンティケーター登録ポリシーでパスワードが必要な場合、管理者はユーザーのパスワードを削除できません。同様に、該当するすべてのポリシーでユーザーのパスワードが無効になっている場合、管理者はユーザーのパスワードを設定またはリセットできません。
エンドユーザーエクスペリエンス
パスワードがオプションまたは不要のエクスペリエンスを構成した後に、エンドユーザーは次のタスクを実行できます。
(管理者が作成したエンドユーザー)パスワードなしで初めてサインインする
管理者がエンドユーザーのアカウントを作成しても、エンドユーザーはアクティベーションEメールを受信しません。代わりに、Okta End-User Dashboardまたは検索エンジンからアプリに移動します。アプリにアクセスするには、次のことを行う必要があります。
-
エンドユーザーが自分のユーザー名を入力します。管理者がアカウントの作成時に指定したアドレスにメールが送信されます。
-
エンドユーザーが受信トレイに移動し、リンクをクリックするか、OTPを入力してメールアドレスを検証します。
-
アプリ内で、プロンプトに従ってセキュリティメソッドをセットアップします。オーセンティケーター登録ポリシーでセキュリティメソッドが必要な場合は、プロンプトが表示されます。
セキュリティメソッドをセットアップすると、アプリへのアクセスが許可されます。
パスワードなしでセルフサービスで登録する
orgにまだ存在していないエンドユーザーは、メールマジックリンクとオプションのパスワードセットアップを使用して自身を登録できます。
-
エンドユーザーが、アプリのサインオンページに移動します。
-
自分の名前とメールアドレスを入力します。このアドレスにメールが送信されます。
-
受信トレイに移動し、リンクをクリックするか、OTPを入力してメールアドレスを検証します。
-
任意。アプリ内で、プロンプトが表示された場合は、エンドユーザーがパスワードをセットアップします。パスワードがオプション要素としてセットアップされている場合は、プロンプトが表示されます。パスワードが無効になっている場合、プロンプトは表示されません。
-
オーセンティケーター登録ポリシーでの必要性に応じて、エンドユーザーがその他の要素をセットアップします。
-
[Finish(終了)]をクリックします。
エンドユーザーが登録されました。
Okta End-User Dashboardでパスワード関連の変更を行う
オーセンティケーター登録ポリシーで許可されている場合、エンドユーザーはダッシュボードからオーセンティケーターとしてのパスワードを削除できます。
-
[Okta End User Dashboard]>[Settings(設定)]に移動します。
-
[Security Methods(セキュリティメソッド)]セクションで、[Password(パスワード)]を選択してから[Remove(削除)]をクリックすることができます。
同じ設定から、パスワードを再度セットアップすることができます。
既知の問題
パスワードを持たないユーザーが作成されていない限り、この機能は、副次的な影響なしに有効化または無効化できます。この機能が無効になっている場合、登録されたパスワードを持たないユーザーは、シームレスにロールバックされません。代わりに、移行する必要があります。
パスワードを持たないユーザーがいる場合は、この機能を無効にする前にサポートにお問い合わせください。
-
別のorgから同期されたパスワードを持たないユーザーは、ステータスが[Pending user action. User password selection required(ユーザーアクション保留中。ユーザーのパスワード選択が必要です)]になる可能性があります。このようなユーザーは、アカウントのアクティベーションリンクを受け取ります。リンクをクリックすると、グループメンバーシップとオーセンティケーター登録ポリシーによっては、パスワードの登録が必要になる場合があります。
-
RADIUS認証では、プライマリ認証メカニズムとしてパスワードが使用されます。従来のRADIUS認証は、パスワードを持たないユーザーでは実行できません。アプリケーション設定プロパティの[Okta performs primary authentication(Oktaでプライマリ認証を実施)]がオフになっている場合は、RADIUSで認証のためにほかの要素を使用できます。「OktaのRADIUSアプリケーション」の「二要素認証のみ(パスワードなしモード)」を参照してください。
-
現在、この機能にはいずれかのMFA SKUが必要です。この機能を有効にした後にMFA SKUの使用をやめると、この機能も無効になります。ただし、これにより既存のポリシーで問題が発生する可能性があります。必要な場合は、Oktaサポートにお問い合わせください。