プロファイル登録ポリシーを管理する

プロファイル登録ポリシーは、エンド・ユーザーがアプリにアクセスしようとしたときに、エンド・ユーザーから必要なプロファイル属性を収集します。このポリシーは、自己登録またはプログレッシブ・プロファイリングに使用できます。

自己登録のシナリオでは、エンド・ユーザーがサインイン・ウィジェットの[サインアップ]リンクをクリックします。そのエンド・ユーザーがアプリへの認証を完了させるまでには、プロファイルが完成し、適切なグループにプロビジョニングされます。 デフォルトのプロファイル登録ポリシーではサインアップが有効になっており、組織の自己登録を制御します。

プログレッシブ・プロファイリングのシナリオでは、ユーザーがアプリケーションにまだアクセスしていない場合、ポリシーはアプリケーションに必要な追加データを収集します。プログレッシブ・プロファイリングは、ユーザーがより機密性の高いアプリケーションにアクセスする前にユーザーのメール・アドレスを確認する場合や、訪問者が組織のリソースを表示またはダウンロードする前にプロファイルを作成する必要がある場合に役立ちます。

プロファイル登録ポリシーを作成する

ポリシーを作成するには、スーパー管理者のアクセス権が必要です。

  1. 管理コンソールで、[セキュリティー] > に移動しますプロファイル登録
  2. デフォルトのプロファイル登録ポリシーを選択します。もしくは、[新しいプロファイル登録ポリシーを追加]をクリックして、新しいポリシーを作成します。 組織のサインアップは、デフォルトのプロファイル登録ポリシーによって制御されることに注意してください。組織ではなく特定のアプリのサインアップを有効化するには、デフォルト・ポリシーでサインアップを許可しないようにします(手順8の「サインアップ」オプションを参照)。
  3. 新しいポリシーの[名前]を入力します。
  4. ポリシーのページで、[アプリを管理]をクリックします。
  5. [使用しているアプリ(ポリシー名)]ページで、[このポリシーにアプリを追加]をクリックします。各アプリで[適用]を選択し、[閉じる]をクリックします。
  6. [プロファイル登録ポリシーに戻る]をクリックします。
  7. [登録設定]で[そのほかのオプション]アイコンをクリックし、[編集]を選択します。
  8. 条件を示します。
  9. ユーザーにデータの入力を求める [プロファイル登録]フォームに表示する属性を最大10個指定します。フィールドを追加すると、 [フォーム・ラベル]. 登録フォームのフィールドはオプションにすることができますが、ユーザー・スキーマで必要な場合、エンド・ユーザーは値を入力する必要があります。以下の条件で組織のユーザー・タイプに属性が表示されている場合、その属性は登録フォームで使用できないことに注意してください。
    • 読み取り専用または権限を非表示
    • 機密としてマークされている
    • 外部アプリから供給
    これらの新しいフィールドを保持する場合は、手順10の説明に従ってプロファイル・エディターに追加してください。
    メールの検証 アクセスを許可する前にメールの検証が必要かどうかを示します。
    グループへのユーザーの追加 ユーザーが自動的に追加されるグループを示します。組織内のグループを確認するには、 [グループに移動].
    サインアップ ここで、ポリシーの自己登録またはプログレッシブ・プロファイリングをカスタマイズできます。
    • ユーザーに組織への自己登録を許可するには、デフォルト・ポリシーでこのオプションを有効のままにします。
    • ユーザーに組織ではなくアプリへの自己登録を許可する場合は、デフォルト・ポリシーでこのオプションをオフにして、サインアップを拒否します。次に、アプリ専用のプロファイル登録ポリシーを新しく作成し、[サインアップ]を有効のままにします。
    • プログレッシブ・プロファイリング・ポリシーを作成する場合は、このオプションをオフにします。プログレッシブ・プロファイリングのシナリオでは自己登録が拒否されますが、既存のユーザーは引き続き追加のプロファイル属性を求められ、指定されたグループに割り当てられ、メール・アドレスを検証する必要があります。
  10. [次のインライン・フックを使用します]条件で、登録にインライン・フックを使用するかどうかを指定します。フックはユーザーが登録フォームの記入を完了するまで実行されません。
  11. [保存]をクリックします。
  12. 手順8で登録フォームにフィールドを追加した場合は、[ディレクトリー]>[プロファイル・エディター]に移動します。
    • 属性を見つけて、その情報アイコンをクリックします。追加した属性が新規の場合は、[属性を追加]をクリックします。
    • [ユーザー権限]ドロップダウン・ボックスで、[読み取り-書き込み]を選択します。必須フィールドへの書き込みアクセス権を持たないエンド・ユーザーは、自己登録を完了できません。
    • [属性を保存]をクリックします。エンド・ユーザーは、登録後に設定ページでこのフィールドを変更できます。

プロファイル登録ポリシーを更新する

  1. 管理コンソールで、[セキュリティー] > に移動しますプロファイル登録
  2. [プロファイル登録]ページでポリシーを探し、[アクション]列の[編集]または[削除]アイコンをクリックします。ポリシーを削除する必要があるもののアイコンが利用できない場合、このポリシーがアプリに割り当てられます。オプションについては、手順3を参照してください。
  3. [ポリシー]ページでは、次のことができます。
    • [アプリを管理]をクリックしてポリシーをアプリに割り当てます(または削除する)。
    • タイル・メニューをクリックし[別のポリシーを適用]を選択して、アプリのポリシーを変更します。
    • タイル・メニューをクリックし[アプリに移動]を選択して、アプリの設定を表示します。
    • [そのほかのオプション]メニューをクリックし[編集]を選択して、ルールの条件を変更します。登録フォームに必須の属性を追加すると、ユーザーは次回のサインイン時にこの情報の入力を求められます。
注

含まれているすべてのユーザーまたはグループが削除された場合、ルールは自動的に非アクティブ化されます。

エンド・ユーザー・エクスペリエンス

セルフサービス登録

新しいユーザーは、Oktaサインイン・ウィジェットの[サインアップ]リンクをクリックします。これにより、[アカウントの作成]登録フォームが起動し、プロファイル登録ポリシーで構成されたフィールドにユーザーが入力します。Oktaは、このメール・アドレスをエンド・ユーザーのユーザー名およびプライマリ・メール・アドレスとして自動的に使用します。

  • メールの検証を必須にします。情報を登録すると、メール・アドレスを確認して登録プロセスを完了するためのリンクがすぐにユーザーに送信されます。アクティベーション・メールはメール・オーセンティケーターによって所有要素のアシュアランスを満たし、最初のサインアップに関連するすべての要素の検証を引き渡します。サインオン・ポリシーの再認証設定によっては、追加の認証プロンプトが表示される場合があります。すべての認証要件を満たすと、エンド・ユーザーはアプリまたは組織のOktaホーム・ページにリダイレクトされます。

  • メールの検証をオプションにします。登録後、エンド・ユーザーはすぐにカスタムのアプリ/ポータルまたは組織のOktaホーム・ページにリダイレクトされます。その後、Oktaがユーザーにメール・アドレスの検証を求めるメールを送信します。

プログレッシブ・プロファイリング

[サインアップ]リンクはOktaサインイン・ウィジェットに表示されません。ユーザー名が不明な新規ユーザーは、アプリケーションへのアクセスを拒否されます。以前登録している既存のユーザーは、前に証明した資格情報のみを使用してサインインできます。その後、アプリ・サインオン・ポリシー、または該当する場合はOktaサインオン・ポリシーによって評価されます。

プロファイル登録ポリシーは、ユーザーがサインインを試行するたびに評価されます。プロファイル登録ポリシーを変更したときにユーザーがすでにサインインしている場合、ユーザーは次回サインインするときに追加データの入力を求められるか、新しいグループに割り当てられることがあります。