エンドユーザーのサインインプロセス
最初のサインイン試行
Oktaは、同じ一連の条件を評価することで、新しいデバイスからのすべてのサインイン試行を処理します。
-
orgでシングルサインオン(SSO)にメールを使用している場合、ユーザープロファイルが存在しない場合やユーザーがサインインできない場合でも、ユーザーは常にメールおよびパスワードのサインインオプションを使用できます。
-
orgでSSOにメールを使用していない場合、ユーザーは常にパスワードの入力を求められます。
-
認証エラーが発生するとサインインできません。
-
同じユーザーが再度同じブラウザーでサインインを試みると、使用可能なオーセンティケーターの完全なリストが表示されます。
SSOに使用されるメール
orgがSSOでメールを有効にしている場合、エンドユーザーが新しいデバイスでアプリにアクセスしようとすると、識別子先行のOkta Sign-in Widgetが表示されます。
- エンドユーザーは、ドメインを含む完全なアプリの[Username(ユーザー名)]を入力し、[Next(次へ)]をクリックします。
- エンドユーザーのプロファイルが存在する場合は、[security method(セキュリティ方法)]ページに[Email(メール)]および[Password(パスワード)]のオプションが表示されます。
- エンドユーザーは、[Password(パスワード)]を選択した場合、パスワードを入力して[Next(次へ)]をクリックします。
- Okta Sign-in Widgetによってエンドユーザーにメールの検証が求められます。
- エンドユーザーは、[Email(メール)]を選択し、メールに記載されているリンクをクリックして認証します。
- エンドユーザーのプロファイルが存在しない場合、[security method(セキュリティ方法)]ページには、唯一のオプションとして[Password(パスワード)]が表示されます。
- エンドユーザーは、パスワードを入力し、[Next(次へ)]をクリックします。
- Okta Sign-in Widgetに「Unable to sign in(サインインできません)」というメッセージが表示されます。
メールが必須のポリシーオーセンティケータとして構成され、[Authentication and recovery(認証と復旧)]に設定されている場合、エンドユーザーは、メールで提供されたマジックリンクをクリックするか、提供されたOTPコードを使用して認証することができます。「メールオーセンティケーターを構成する」を参照してください
- 後続の要素が不要な場合、同じブラウザーでリンクをクリックする限り、ユーザーは自動的にサインインできます。
- ユーザーが別のブラウザー(または完全に別のデバイス)でマジックリンクを開いた場合、ユーザーは元のブラウザーのOTPコードを使用してサインインプロセスを完了することができます。「メールマジックリンクまたはワンタイムパスワードを使用してサインインする」を参照してください。
以降のサインイン試行
[Keep me signed in(サインインしたままにする)]オプションを有効にすることで、サインインエクスペリエンスの負担をさらに減らすことができます。
[Keep me signed in(サインインしたままにする)]を使用すると、ブラウザーのライフタイムを超えてセッションを延長できます。また、前のセッションのMFAオーセンティケーターも記憶されます。[Keep me signed in(サインインしたままにする)]を使用すると、グローバルセッションポリシーで定義された時間、セッションが維持されます。「組織のセキュリティ」を参照してください。