セキュリティ質問によるAuthenticatorの構成

セキュリティ質問によるAuthenticatorでは、エンドユーザーに対して、提示される質問のリストから選択した質問に対する正しい回答を入力するように求めます。

このAuthenticatorでは、多要素認証(MFA)、シングルサインオン(SSO)、パスワード復旧シナリオがサポートされます。このAuthenticatorがMFAまたはSSOに対して無効になっている場合、グローバルセッションポリシーはそれを評価しません。このAuthenticatorをMFAとSSOに使用できるのは、グローバルセッションポリシーのプライマリAuthenticatorがパスワードである場合のみです。Oktaでは、どの認証フローでもセキュリティ質問を使用しないことを推奨しています。

このAuthenticatorは、アカウント復旧のみ、または認証とアカウント復旧の両方に使用できます。復旧オプションのみを選択した場合は、グローバルセッションポリシーの評価中にOktaが認証を要求することはありません。

orgでOkta FastPassを有効にしている場合、このAuthenticatorを追加のAuthenticatorとして使用することはできません。

このAuthenticatorは知識要素であり、ユーザーの存在の要件を満たします。「多要素認証」を参照してください。

セキュリティ質問によるAuthenticatorを追加する

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。

  2. [Setup(設定)]タブで[Add Authenticator(Authenticatorを追加)]をクリックします。

  3. Authenticatorタイルの[Add(追加)]をクリックします。

構成オプション

  1. 次のオプションを構成します。

    フィールド

    Authentication and recovery(認証と復旧) このAuthenticatorを認証と復旧の両方のシナリオに使用します。
    Recovery(復旧) このAuthenticatorを復旧のシナリオのみに使用します。

  2. [Add(追加)]をクリックします。Authenticatorが[Setup(設定)]タブのリストに表示されます。

セキュリティ質問によるAuthenticatorをAuthenticator登録ポリシーに追加する

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。

  2. [Enrollment(登録)]タブをクリックします。
  3. Authenticatorを新規または既存のAuthenticator登録ポリシーに追加します。「Authenticator登録ポリシーを作成する」を参照してください。

セキュリティ質問によるAuthenticatorを編集または削除する

Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

  1. [Authenticator]で、[Setup(設定)]タブに移動します。
  2. Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]または[Delete(削除)]を選択します。

エンドユーザーエクスペリエンス

このAuthenticatorを有効にした後にユーザーが初めてアプリにサインインした時、[Extra verification is required for your account(このアカウントは追加検証が必要です)]というページが表示され、次の手順の実行が必要になります:

  1. [Setup(セットアップ)]を選択します。
  2. セキュリティ質問を作成または選択して回答を入力し、[Save(保存)]をクリックします。

ユーザーは次回サインインする際に、セキュリティ質問に回答するように求められます。

Additional prompts

Users may be prompted for the security question in a few other scenarios:

  • If your org doesn't use MFA, all authenticators are treated as optional. Users may be prompted to set up the security question during account setup, but they can dismiss the prompt and won't be asked again.

  • If you enabled the security question for recovery but don't allow it for additional verification in the password policy, users may be prompted for it when they sign in.

関連項目

グローバルセッションポリシー

認証ポリシー

Authenticator登録ポリシー