メールAuthenticatorの自動登録をスキップする
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
この機能を利用することで、メールをエンドユーザーのAuthenticatorとして自動登録することなく、orgをIdentity Engineにアップグレードできます。
以下のいずれか該当する場合は、orgをアップグレードする前にこの機能を有効にしてください。
- Classic Engine orgに、メールがオプションの要素として設定される要素登録ポリシーがある。
- Classic Engine orgがMFAを使用していない。
- 移行後にIdentity Engine orgでメールをオプションのAuthenticatorとして使用することを希望している。
この機能が有効になっている場合、orgをアップグレードするときにメール要素を[Required(必須)]または[Disabled(無効)]に設定する必要はありません。
エンドユーザーエクスペリエンス
エンドユーザーがOktaに初めてサインインする際のエクスペリエンスは、Authenticator登録ポリシーとアカウント復旧ポリシーの構成内容に応じて異なります。
エンドユーザーがアップグレード後にIdentity Engineに初めてサインインするとき、エンドユーザーのメールはAuthenticatorとして自動的に登録されません。ただし、アカウント復旧用に別のAuthenticatorを登録するよう求められる場合があります。場合によっては、メールをAuthenticatorとして登録する必要があります。
ユーザーがIdentity Engineでセルフサービスのアカウント復旧を行うには、復旧目的に指定されたAuthenticatorを少なくとも1つ登録する必要があります。ユーザーは、パスワードをリセットしたり、アカウントのロックを解除したりするときにこの復旧Authenticatorを使用します。Classic Engineでは、ユーザーはメールを認証用に登録していない場合でも、メールをアカウント復旧に使用できます。ただし、Identity Engineでは、メールをアカウント復旧に使用する場合は、メールがAuthenticatorとして登録されている必要があります。
そのため、ユーザーがアカウント復旧に必要なAuthenticatorを登録していない場合は、管理者がorgをIdentity Engineにアップグレードした後、Oktaに初めてサインインするときにAuthenticatorを登録するよう求められます。ユーザーは、管理者がセルフサービスのアカウント復旧に使用できるようにしたAuthenticatorから選択できます。