メールを任意のAuthenticatorにする

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

この機能により、Admin Consoleから直接、アカウントの復旧やロック解除など、メールAuthenticator設定をより詳細に制御できます。エンドユーザーは、エンドユーザーダッシュボードでメールAuthenticatorの登録を管理できます。

認証の仕組み

Authenticator登録ポリシーの設定内容に応じて、メールAuthenticatorは自動登録されるか、エンドユーザーの登録オプションとして使用できるようになります。次の表では、登録の仕組みついて説明します。

メール設定

登録動作
必須 ユーザーのプライマリメールアドレスは自動登録されます。
任意 ユーザーは、プライマリメールアドレスをAuthenticatorとして使用する場合には、プライマリメールアドレス登録が必要な場合があります。
無効 ユーザーは、アカウント復旧にプライマリメールアドレスが必要な場合には、プライマリメールアドレスを登録するよう要求される場合がありますが、プライマリメールアドレスを認証に使用することはできません。

アカウント復旧の仕組み

セルフサービスのアカウント復旧を構成した場合は、エンドユーザーがパスワードのリセットまたはアカウントのロック解除に使用できるAuthenticatorを指定する必要があります。エンドユーザーは、これらのAuthenticatorのうちの少なくとも1つを登録する必要があります。メールがアカウント復旧用に指定した唯一のAuthenticatorである場合、登録なしでの復旧を有効化していければ、エンドユーザーはメールをAuthenticatorとして登録する必要があります。

登録・復旧設定

次の設定を使用して、エンドユーザーのメール登録と復旧動作を管理できます。

  • [Auto-enroll using account profile email when possible(可能な場合アカウントプロファイルメールを使用して自動登録する)]:この設定は、OktaがエンドユーザーのメールをAuthenticatorとして自動登録するかどうかを決定します。
  • [Send recovery email to user's primary and secondary email addresses even when the email authenticator has not been enrolled(メールAuthenticatorが登録されていない場合でも、ユーザーのプライマリメールアドレスとセカンダリメールアドレスに復旧メールを送信する)]:この設定により、メールがAuthenticatorとして登録されていない場合でも、エンドユーザーのメールアドレスに復旧メールを送信できます。

構成によってユーザーアクセスが妨げられたり、復旧パスがブロックされたりしていないことを確認するには、次のシナリオを確認します。

ロックアウトの可能性

次の条件が満たされる場合、エンドユーザーはパスワードを復旧できず、管理者にサポートを依頼する必要があります。

  • メールが唯一の復旧要素として構成されている
  • ユーザーがメールで自動登録されない
  • ユーザーは登録なしで復旧できない

自動登録の選択動作

  • [Auto-enroll(自動登録)]チェックボックスをクリアすることで、メールAuthenticatorが自動的に登録されなくなります。
  • このチェックボックスを選択することで、自動登録が保証されるわけではありません。登録は、メールが復旧に必要な場合、ユーザーがメール検証を完了する場合、または管理者がユーザープロファイルを更新する場合にのみ行われます。

Oktaアカウント管理ポリシー

orgでOktaアカウント管理ポリシーを使用し、[Auto-enroll(自動登録)]チェックボックスがクリアされている場合、ユーザーがメールAuthenticatorを手動で登録する場合にのみ、メール復旧オプションを使用できます。

メールの自動登録を無効にする

  1. [Security(セキュリティ)][Authenticator]に移動します。
  2. [Enrollment(登録)]タブで更新するポリシーを選択し、[Actions(アクション)][Edit(編集)]をクリックします。たとえば、[Default Policy(デフォルトポリシー)]です。
  3. [Authenticators][Email(メール)]セクションで、[Enrollment(登録)][Disabled(無効)]または[Optional(任意)]のいずれかを選択します。
  4. [Auto-enroll using profile email when possible(可能な場合プロファイルメールを使用して自動登録する)]チェックボックスをクリアします。
  5. 下にスクロールして[Update policy(ポリシーを更新)]をクリックします。

登録なしで復旧を有効にする

ユーザーがメールをAuthenticatorとして登録していない場合でも、エンドユーザーがパスワードリセットとアカウントのロック解除メールをプライマリプロファイルメールに受信できるようにする設定を構成できます。

未登録のメールに復旧メールを構成するには、次の手順を実行します。

  1. [Security(セキュリティ)][Authenticator]に移動します。
  2. [Setup(セットアップ)]タブの[Password(パスワード)]Authenticatorを見つけて、[Actions(アクション)][Edit(編集)]をクリックします。
  3. [Default Policy(デフォルトポリシー)]を選択し、更新するルールを選択します。たとえば、[Default Rule(デフォルトルール)]です。
  4. [Recovery Authenticators(復旧Authenticator)][Access control(アクセス制御)]セクションで、[This rule (legacy)(このルール(旧))]を選択します。
  5. [AND Users can initiate recovery with option(ユーザーはオプションを使用してリカバリーを開始可能)]の場合、[Email(メール)]チェックボックスを選択し、[Send recovery email to user's primary and secondary email addresses even when the email authenticator has not been enrolled(メールAuthenticatorが登録されていない場合でも、ユーザーのプライマリメールアドレスとセカンダリメールアドレスに復旧メールを送信する)]チェックボックスを選択します。このチェックボックスを選択すると、エンドユーザーが復旧リンクを受信することができます。
  6. 下にスクロールして[Update rule(ルールを更新)]をクリックします。

新規ユーザーのメールの自動登録をスキップする

Oktaでエンドユーザーを作成するときに、エンドユーザーのメールAuthenticatorを登録するかどうかを選択できます。

  • ユーザーのメールをAuthenticatorとして自動登録する場合:アクティベーションリンク([Activate now(すぐにアクティブ化)]または[Activate later(後でアクティブ化)]オプション)を使用してユーザーをアクティブ化します。
  • ユーザーのメールをAuthenticatorとして自動登録しない場合:[I will set password(パスワードを設定する)]オプションを使用してユーザーのパスワードを設定します。

ユーザーのメールAuthenticatorをリセットする

[Email(メール)]セクションで[Enrollment(登録)]オプションが[Optional(任意)]または[Required(必須)]に設定されており、ユーザーのメールAuthenticatorが登録されている場合は、[Directory(ディレクトリ)][People(ユーザー)]でユーザーのメールAuthenticatorをリセットできます。

ユーザーをクリックしてユーザーのプロファイルページに移動します。プロファイルページで、[More Actions(その他のアクション)][Reset Authenticator(Authenticatorをリセット)]に移動します。

エンドユーザーエクスペリエンス

エンドユーザーは、Okta End-User DashboardでメールAuthenticatorの登録を管理できます。エンドユーザーがプライマリメールを正常に変更すると、登録済みのAuthenticatorは自動更新されます。エンドユーザーは、メールの代わりに別のAuthenticatorをアカウント復旧用に登録することもできます。

エンドユーザーエクスペリエンスは、[Auto-enroll using account profile email when possible(可能な場合はアカウントプロファイルメールを使用して自動登録する)]設定をどのように構成したかによって異なります。

  • [Auto-enroll(自動登録)]チェックボックスが選択されていない場合:ユーザーにはメールがオプションのAuthenticatorとして表示され、メールを自動登録するのではなく、ログイン時に登録することを選択できます。
  • [Auto-enroll(自動登録)]チェックボックスが選択されている場合:ユーザーが自動登録される場合があります。

メールAuthenticatorを登録または削除する

エンドユーザーは、[My settings(自分の設定)][Security Methods(セキュリティ方式)]でメールAuthenticatorを登録または削除できます。

ただし、ユーザーがセルフサービスのアカウント復旧または登録ポリシーの要求に従ってメールAuthenticatorを削除した場合、次回のサインイン時に再登録するよう求められたり、メールAuthenticatorが自動登録されたりする可能性があります。

ユーザーがメールをAuthenticatorとして登録し、プライマリメールアドレスを正常に変更した場合、新しいメールアドレスがAuthenticatorとして古いメールに自動的に置き換わります。