オプションのオーセンティケーターとしてのメール

アップグレード後にオプションのオーセンティケーターとしてのメールがどのように変わるのかを説明します。

変更の概要 メールオーセンティケーターは、認証フローと復旧フローの両方で自動登録されます。これはClassic Engineからの変更であり、Classic Engineでは登録ポリシーで必要な場合に認証フローでのみ使用できます。

自動登録は、ユーザーが自分のプライマリメールアドレスを確認するとき、または管理者がユーザーの作成時にプライマリメールアドレスを提供する場合に発生します。これにより、ユーザーがメールアドレスを所有していることをすでに証明済みの場合(セルフサービス登録)、またはメールアドレスを所有していることを証明する必要がない場合(管理者が作成したユーザー)、ユーザーが不要なメール登録チャレンジを受け取らないことが保証されます。

管理者のエクスペリエンス Identity Engineにアップグレードする前に、メール要素を[Disabled(無効)]または[Required(必須)]に設定する必要があります。その上で、ユースケースに基づいてIdentity Engineでメールオーセンティケーターの設定を選択します。
  • [Disabled(無効)]:ユーザーのプライマリメールアカウントがOktaによって保護されている場合は、メールオーセンティケーターを無効にすることが推奨されます。認証メールはプライマリメールにのみ送信され、セカンダリメールには送信されません。
  • [Required(必須)]:Oktaでは、拡張ワークフォースユースケースとカスタマーアイデンティティーおよびアクセス管理(CIAM)ユースケースがある場合には、メールオーセンティケーターを必須にすることが推奨されます。 プライマリメールの確認は、これらのアイデンティティの一般的なユースケースです。

メールオーセンティケーターのデフォルト値は5分ですが、5分単位で最大30分まで延長できます。一般的に受け入れられているベストプラクティスは10分以内です。期限切れのマジックリンクをクリックしたエンドユーザーは、再度サインインする必要があります。

ユーザーエクスペリエンス メールはオーセンティケーターとして自動登録されます。ポリシーで許可される場合は、ユーザーが他のオプションのオーセンティケーターに登録しているときでさえも表示されます。

ユーザーがどのように作成され、パスワードが誰によって設定されたかに応じて、ユーザーは初めてサインインするときに、他のオプションのオーセンティケーターに登録するよう求められない場合があります。

関連項目 オーセンティケーター登録ポリシーを作成する

オーセンティケーター登録ポリシーとルールについて