オプションのAuthenticatorとしてのメール

アップグレード後にメールがオプションのAuthenticatorとしてどのように機能するかについて説明します。

変更の概要	メールAuthenticatorは、認証フローと復旧フローの両方で自動登録されます。これはClassic Engineからの変更であり、Classic Engineでは登録ポリシーで必要な場合に認証フローでのみ使用できます。自動登録により、ユーザーは次の場合に重複するメール登録チャレンジを受け取らないことが保証されます。自分のメールアドレスを所有していることがすでに証明されている（セルフサービス登録時に作成されたユーザー）。メールアドレスを所有していることを証明する必要がない（管理者が作成したユーザー）。
管理者のエクスペリエンス	アップグレード後にメールを［Optional（任意）］要素にすることがポリシーによって求められるときは、「メールAuthenticatorの自動登録をスキップする」を参照してください。それ以外の場合は、アップグレード前にメール要素を［Disabled（無効）］または［Required（必須）］に設定する必要があります。Classic Engineのドキュメント「多要素認証登録ポリシーを構成する」を参照してください。その上で、ユースケースに基づいてIdentity EngineでメールAuthenticatorの設定を選択します。［Disabled（無効）］：ユーザーのプライマリメールアカウントがOktaによって保護されている場合に推奨されます。認証メールはプライマリメールにのみ送信され、セカンダリメールには送信されません。［Required（必須）］：拡張ワークフォースユースケースとカスタマーアイデンティティおよびアクセス管理（CIAM）ユースケースで推奨されます。プライマリメールの確認は、これらのアイデンティティの一般的なユースケースです。メールAuthenticatorのデフォルト値は5分ですが、5分単位で最大30分まで延長できます。一般的に受け入れられているベストプラクティスは10分以内です。期限切れのマジックリンクをクリックしたエンドユーザーは、再度サインインする必要があります。
ユーザーエクスペリエンス	オプションのAuthenticatorである場合を除き、メールはAuthenticatorとして自動登録されます。ユーザーがその他の必要Authenticatorに登録されている場合でも、別のポリシーで許可されていれば、Authenticatorとして表示される場合があります。ユーザーがどのように作成され、パスワードが誰によって設定されたかに応じて、ユーザーは初めてサインインするときに、その他のオプションAuthenticatorへの登録を求められない場合があります。
関連項目	Authenticator登録ポリシーを作成する Authenticator登録ポリシー