パスワードなしサインインエクスペリエンスをセットアップする

サインアッププロセスを迅速化し、セキュリティを向上させるには、ユーザーのパスワードがオプションのエクスペリエンス、またはパスワードなしエクスペリエンスを作成します。

パスワードは、セキュリティ侵害の一般的な原因です。パスワードをオプションまたは無効にすることで、所有ベースのAuthenticatorまたは生体認証Authenticatorの使用をユーザーに求めることができます。セルフサービス登録時にパスワードのセットアップが必要なくなることで、登録を諦めるユーザーの数を減らすことができます。

Authenticator登録ポリシーで、パスワードをオプションまたは無効にするグループを指定します。これらのグループのユーザーは、パスワードを設定する必要なしでorgに登録または認証できます。

はじめに

  • ユーザーを作成するか、セルフサービス登録を使って登録させます。ユーザーはOktaがソースである必要があります。Active DirectoryやLDAPなど、その他のディレクトリをソースとするユーザーはサポートされません。
  • パスワードなしのユーザーに従来のRADIUS認証を使用することはできません。RADIUS認証では、プライマリ認証メカニズムとしてパスワードが使用されます。アプリケーション設定プロパティの[Oktaでプライマリ認証を実施]をクリアした後であれば、RADIUS認証のその他の要素を使用できます。「OktaのRADIUSアプリケーション」の「二要素認証のみ(パスワードなしモード)」を参照してください。
  • この機能を無効にすると、登録済みパスワードを持たないユーザーはシームレスにロールバックされません。代わりに移行が必要になります。パスワードを持たないユーザーがいるときは、この機能を無効にする前にサポートまでお問い合わせください。
  • 現在、この機能にはいずれかのMFA SKUが必要です。この機能を有効にしてからMFA SKUの使用をやめると、この機能も無効になります。これにより、既存のポリシーで問題が生じる可能性があります。これを行うときは、サポートまでご連絡ください。

パスワードなしのセルフサービス登録

Orgに存在せず、セルフサービスで登録するユーザーは、プロファイル登録ポリシーで指定したグループに追加されます。これらのユーザーにパスワードが必要であるかどうかは、これらのグループに対応するAuthenticator登録ポリシーによって決まります。

ポリシーによって求められる場合、ユーザーはパスワードを登録する必要があります。パスワードがオプションまたは無効にセットアップされている場合、ユーザーはパスワードの登録なしでサインアップできます。ただし、ポリシーによって求められるその他のAuthenticatorへの登録は必要です。

管理者が作成するユーザーのパスワードなし認証

Authenticatorの登録なしでユーザーを作成すると、ユーザーはアクティベーションメールを受信します。このメールには、アカウントのアクティブ化とorgへの認証に利用できるマジックリンクが含まれます。作成されるユーザーのステータスは、[ユーザーアクション保留中]となります。

ユーザーを作成してパスワードを設定する、またはYubiKeyを登録すると、ユーザーは[Active(アクティブ)]に設定されます。この場合、ユーザーはアクティベーションメールを受信しません。ユーザーは、登録済みのAuthenticatorを使って自分のorgに直接サインインできます。

ユーザーにパスワードが必要かどうかを決定するには、[Directory(ディレクトリ)][People(ユーザー)]に移動します。ユーザーアカウントのステータスは、次のいずれかとなります。

  • [Password expired(パスワードの期限切れ)]:ユーザーにはパスワードが必要で、管理者がパスワードを提供します。ユーザーは、初めてサインインするときに、管理者が提供するパスワードを変更する必要があります。
  • [Pending user action(ユーザーアクション保留中)]:管理者がユーザーのAuthenticatorを登録していません。ユーザーはアクティベーションメールを受信します。
  • [Active(アクティブ)]:ユーザーにはパスワードまたはYubiKeyが必要で、管理者がこれを提供します。または、ユーザーにはパスワードは不要で、管理者はパスワードを提供しません。
  • ユーザーアクション保留中。ユーザーのパスワード選択が必要です]:別のorgから同期されるパスワードなしユーザーは、このステータスになる可能性があります。これらのユーザーはアクティベーションメールを受信します。グループメンバーシップとAuthenticator登録ポリシーによって求められる場合、パスワードの登録が必要になる可能性があります。

ベストプラクティス

管理者がパスワードを使用できることを確認する

  1. 管理者用に別のグループを作成します。
  2. このグループ用に、別のAuthenticator登録、グローバルセッション、認証ポリシーを作成します。
  3. グループのAuthenticator登録ポリシーに最高の優先順位を設定します。Authenticator登録ポリシーのリストの最上位(番号1)までドラッグします。

意図したユーザーのみがパスワードなしでサインインできるようにする

  1. パスワードを持たないユーザー用に別のグループを作成します。
  2. このグループ用に、別のAuthenticator登録、グローバルセッション、認証ポリシーを作成します。
  3. グループのAuthenticator登録ポリシーに2番目の優先順位を設定します。Authenticator登録ポリシーのリストで、デフォルトポリシーのすぐ上の位置までドラッグします。これにより、パスワードを持たないユーザーは、そのためのAuthenticator登録ポリシーの対象となり、デフォルトポリシーの適用対象から外れます。
  4. デフォルトポリシーがパスワードをAuthenticatorとして必要とすることを確認します。
  5. メインの管理者アカウントを、パスワードなしのポリシーから明示的に除外します。

この手順を開始する

ポリシーを構成してパスワードをオプションまたは無効に設定します。その上で、パスワードを必要としないユーザーを作成します。パスワードを使用する既存のユーザーからパスワード要件を削除することもできます。

ポリシーを構成してパスワードをオプションまたは無効に設定する

  1. メールAuthenticatorを構成します認証と復旧での使用を設定します。
  2. 認証ポリシーを作成します
  3. エンドユーザーがパスワードなしで認証できるように、認証ポリシールールを追加します

    • [User must authenticate with(ユーザーが認証に使用する要素)]を、任意の1要素タイプまたは任意の2要素タイプのオプションに設定します(明示的にパスワードが必要なものを除く)。
    • 2要素を使用するときは、「パスワードを持たないユーザー向けのMFAを構成する」を参照してください。
    • パスワードを持たないユーザーのAuthenticatorとしてOkta Verifyを使用するときは、[User Verification(ユーザー検証)][Required(必須)]に設定します。「Okta Verifyオプションの構成」を参照してください。
  4. グローバルセッションポリシーを作成します
  5. グローバルセッションポリシールールを追加して、[Establish the user session with(次を使用してユーザーセッションを確立)][Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]に設定します。
  6. Authenticator登録ポリシーを作成します。必要時の認証用に少なくとも1つのAuthenticatorを有効にします。必要に応じてその他のAuthenticatorをセットアップします。

    • パスワードが[Optional(任意)]または[Disabled(無効)]に設定されている場合、認証用のスタンドアロンAuthenticatorとしてセキュリティ質問を[Required(必須)]に設定することはできません。ただし、アカウントの復旧では許可されます。
    • [User Enumeration Prevention(ユーザーによる列挙の防止)]を有効にしている場合、特定のデバイスからorgに初めてサインインするユーザーには、パスワードまたはメールの入力を求めるサインインプロンプトが表示されます。サインインエクスペリエンスを簡素化するために、[Security(セキュリティ)][General(一般)]でこの設定を無効にすることもできます。ただし、パスワードを持たないユーザーは、引き続きメールをAuthenticatorとして使ってサインインできます。

パスワードがオプションのユーザーまたはパスワードを持たないユーザーを作成する

  1. Admin Console[Directory(ディレクトリ)][People(ユーザー)]に移動します。

  2. [Add Person(ユーザーの追加)]をクリックします。
  3. [User type(ユーザータイプ)]を選択するか、デフォルトを受け入れます。「Okta Universal Directoryのカスタムユーザータイプについて」を参照してください。
  4. パスワードがオプションまたは不要の登録ポリシーに対応するグループにユーザーを割り当てます。
  5. その他のフィールドに入力します。
  6. [Activation(アクティブ化)]フィールドで[Activate now(すぐにアクティブ化)]を選択します。
  7. [Password(パスワード)]フィールドで、[I will set the password(パスワードを設定する)]をクリアします。
  8. [Save(保存)]をクリックします。

パスワードを使用しているユーザーをパスワードがオプションのユーザーまたはパスワードを持たないユーザーに移行する

ユーザーのパスワード登録を削除するには、[Directory(ディレクトリ)][People(ユーザー)]に移動します。[person(ユーザー)][Reset or remove password(パスワードをリセットまたは削除)][Remove password(パスワードを削除)]に移動します。

ユーザーに適用されるAuthenticator登録ポリシーによってパスワードが求められる場合、ユーザーのパスワードは削除できません。同様に、該当するすべてのポリシーでユーザーのパスワードが無効化されている場合、ユーザーのパスワードは設定またはリセットできません。

エンドユーザーエクスペリエンス

パスワードがオプションまたはパスワードなしのエクスペリエンスを構成すると、ユーザーはパスワードなしでサインインまたは登録できるようになります。

パスワードなしで初めてサインインする

管理者が作成するユーザーは、管理者によるアカウントの作成時にアクティベーションメールを受信しません。メールは、管理者がアカウントの作成時に指定したアドレスに送信されます。ユーザーは、メール内のマジックリンクをクリックするか、OTPを入力してメールアドレスを検証します。ユーザーには、Authenticator登録ポリシーによって求められるセキュリティ方式のセットアップが求められます。セキュリティ方式をセットアップすると、orgやリソースにアクセスできるようになります。

パスワードなしでセルフサービス登録する

orgに存在しないユーザーは、メールマジックリンクとオプションのパスワードセットアップを使って登録できます。ユーザーは、アプリのサインオンページで名前とメールアドレスを入力します。メールのマジックリンクはこのアドレスに送信されます。ユーザーは、リンクをクリックするか、OTPを入力してメールアドレスを検証します。

Authenticator登録ポリシーでオプションのAuthenticatorとしてアプリが構成されている場合、アプリではパスワードの作成が求められます。ユーザーには、ポリシーによって求められるセキュリティ方式のセットアップも求められます。セキュリティ方式をセットアップすると、ユーザーは登録されます。

End-User Dashboardでパスワードを削除する

Authenticator登録ポリシーで認められている場合、ユーザーは[Okta End-User Dashboard] [Settings(設定)]に移動してセキュリティ方式としてのパスワードを削除できます。[Security Methods(セキュリティ方式)]セクションで[Password(パスワード)]を選択し、[Remove(削除)]をクリックします。パスワードは、同じ設定からセットアップし直すことができます。