パスワードの復旧とアカウントのロック解除のルールを追加する

ユーザーがアカウントをロック解除するまたは現在のパスワードをリセットする際にフィッシング耐性のあるAuthenticatorを必須とするには、このルールを追加します。期限切れのパスワードをリセットする必要があるユーザーには、セカンダリルールの追加を検討してください。「パスワードの有効期限を有効化する」を参照してください。

前提条件

orgが第三世代Sign-In Widgetを使用している場合、すべてのブランドをバージョン7.20以降にアップグレードします。

org内のすべてのユーザーがフィッシング耐性のあるAuthenticatorを使用できなければなりません。「Authenticator登録ポリシーを作成する」を参照してください。

開始する前に

パスワードポリシーのアクセスコントロール設定を変更します。

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [Password(パスワード)]行で、[Actions(アクション)][Edit(編集)]をクリックします。
  3. [Rules(ルール)セクションで、デフォルトルールの編集アイコンをクリックします。
  4. [Recovery authenticators(復旧Authenticator)]セクションで、[Access control(アクセスコントロール)]条件を[Authentication policy(認証ポリシー)]に設定します。
  5. [Update rule(ルールを更新)]をクリックします。
  6. その他のパスワードポリシールールについてステップ3~5を繰り返します。
  7. 各ルールの[Users can perform self-service(ユーザーは次をセルフサービスで実行可能)]条件を確認します。ロック解除および復旧プロセスが既存のルール(組み合わせまたは統合)でカバーされていない場合は、これらのプロセスを明確に許可するルールを追加します。追加した新ルールはデフォルトでは[Authentication policy(認証ポリシー)]設定になります。

ルールを追加する

  1. Admin Console[Security(セキュリティ)][Authentication Policies(認証ポリシー)]に移動します。

  2. [Okta Account Management Policy(Oktaアカウント管理ポリシー)]を選択します。
  3. [Add Rule(ルールを追加)]をクリックします。
  4. わかりやすい名前を入力します(「フィッシング耐性のあるパスワードおよびアカウント復旧」など)。
  5. 次のIF条件を設定します。
    • [User type(ユーザータイプ)]:[任意のユーザータイプ]
    • [User group membership includes(ユーザーのグループメンバーシップ:)]:[任意]
    • [User is(ユーザー:)]:[任意]
    • [Device platform is(デバイスプラットフォーム)]:任意のプラットフォーム
    • [User's IP is(ユーザーのIP:)]:[任意]
    • [Risk is(リスク)]:任意
    • [The following custom expression is true(次のカスタム式をtrueとする)]accessRequest.operation == 'recover'|| accessRequest.operation == 'unlockAccount'
  6. 次のTHEN条件を設定します。
    • [Access is(アクセス:)]:[認証の成功後に許可]
    • [User must authenticate with(ユーザーが使用する認証方法)]:[所有要素]
    • [Possession factor constraints are(所有要素の制約)]:[フィッシング耐性]
    • [Authentication methods(認証方法)]:[要件を満たすために使用できる任意の方法を許可]
    • [Prompt for authentication(認証のためのプロンプト)]:ユーザーがリソースにサインインするたび
  7. [Save(保存)]をクリックします。

キャッチオールルールのすぐ上に新しいルールが追加されます。

例外

管理者が開始するパスワードリセットフローは、Okta Account Managementポリシーを強制適用しません。ユーザーはメール内のリンクをクリックする必要がありますが、追加の要素は求められません。

パスワードの有効期限を有効にしない限り、パスワードの有効期限フローはOkta Account Managementポリシーを強制適用しません。

Oktaでは、認証ポリシーでMFAを要求してすべてのアプリを保護することを推奨しています。

ユーザーエクスペリエンス

パスワードの復旧とアカウントのロック解除をアカウント管理ポリシーに移動してもユーザーエクスペリエンスは変化しません。

  • ユーザーが現在のパスワードをリセットしても、[password + another factor(パスワード + 別の要素)]を必須にしている場合は、パスワードを要素として使用できません。パスワード以外に、ユーザーが認証できるAuthenticatorが少なくとも2つ以上あることを確認してください。
  • [Keep me signed in(サインインしたままにする)]は、認証頻度を正しく構成した場合には、アカウント管理ポリシーと連携します。[Prompt for authentication(認証を求める)]設定は、エンドユーザーダッシュボードの認証ポリシーで対応する設定よりも頻繁にする必要があります。Oktaアカウント管理ポリシーで[Prompt for authentication(認証を求める)]を[毎回]に設定すると、ユーザーはパスワードのリセットを待つ必要がなくなります。
  • [User enumeration prevention(ユーザーによる列挙の防止)]は、Oktaアカウント管理ポリシーを使用した復旧シナリオではサポートされません。

ユーザー設定

ユーザーがこのルールの要件を満たさない場合、パスワードの[Reset(リセット)]オプションと[Remove(削除)]オプションは表示されません。ユーザーが登録していないAuthenticatorも表示されません。

関連項目

Oktaアカウント管理ポリシー

Authenticator登録のルールを追加する

Oktaアカウント管理ポリシーを編集する