エンドユーザーのサインインプロセス
最初のサインイン試行
Oktaは、同じ一連の条件を評価することで、新しいデバイスからのすべてのサインイン試行を処理します。
-
orgでシングルサインオン(SSO)にメールを使用している場合、ユーザープロファイルが存在しない場合やユーザーがサインインできない場合でも、ユーザーは常にメールおよびパスワードのサインインオプションを使用できます。
-
orgでSSOにメールを使用していない場合、ユーザーは常にパスワードの入力を求められます。
-
認証エラーが発生するとサインインできません。
-
同じユーザーが再度同じブラウザーでサインインを試みると、使用可能なAuthenticatorの完全なリストが表示されます。
SSOに使用されるメール
orgがSSOでメールを有効にしている場合、エンドユーザーが新しいデバイスでアプリにアクセスしようとすると、identifier firstのSign-In Widgetが表示されます。
- エンドユーザーは、ドメインを含む完全なアプリの[Username(ユーザー名)]を入力し、[Next(次へ)]をクリックします。複数のID EA機能を有効にした場合、ユーザーはユーザー名ではなく、構成済みのいずれかのIDを入力できます。
- エンドユーザーのプロファイルが存在する場合は、[Security Methods(セキュリティ メソッド)]ページに[Email(メール)]および[Password(パスワード)]のオプションが表示されます。
- エンドユーザーは、[Password(パスワード)]を選択した場合、パスワードを入力して[Next(次へ)]をクリックします。
- Okta Sign-in Widgetによってエンドユーザーにメール検証が求められます。
- エンドユーザーは、[Email(メール)]を選択し、メールに記載されているリンクをクリックして認証します。
- エンドユーザーのプロファイルが存在しない場合、[Security Methods(セキュリティ メソッド)]ページには、唯一のオプションとして[Password(パスワード)]が表示されます。
- エンドユーザーは、パスワードを入力し、[Next(次へ)]をクリックします。
- Okta Sign-in Widgetに「Unable to sign in(サインインできません)」というメッセージが表示されます。
メールが必須のポリシーAuthenticatorとして構成され、[Authentication and recovery(認証と復旧)]に設定されている場合、エンドユーザーは、メールで提供されたマジックリンクをクリックするか、提供されたOTPコードを使用して認証することができます。「メールAuthenticatorを構成する」を参照してください
- 後続の要素が不要な場合、同じブラウザーでリンクをクリックする限り、ユーザーは自動的にサインインできます。
- ユーザーが別のブラウザー(または完全に別のデバイス)でマジックリンクを開いた場合、ユーザーは元のブラウザーのOTPコードを使用してサインインプロセスを完了することができます。「メールマジックリンクまたはワンタイムパスワードを使用してサインインする」を参照してください。
以後のサインイン試行
[Stay signed in(サインインしたままにする)]オプションを有効にすることで、サインインエクスペリエンスの負担をさらに減らすことができます。このオプションを使用すると、ブラウザーのライフタイムを超えてセッションを延長できます。「組織のセキュリティ」を参照してください。