セルフサービスのアカウント復旧
セルフサービスのアカウント復旧を使用すると、アクティブなエンドユーザーが管理サポートに問い合わせずにOktaパスワードをリセットしたり、アカウントのロックを解除したりできるようになります。
セルフサービスのアカウント復旧は、パスワードポリシーのルールを通じて構成できます。
はじめに
この手順を開始する前に、アカウントの復旧に使用するすべてのオーセンティケーターを有効にしてください。また、ユーザーが復旧以外のシナリオに使用できるオーセンティケーターを、可能な限り多く有効にします。追加するこれらのオーセンティケーターは、復旧シナリオに使用するものと同じであってはなりません。
セルフサービスのアカウント復旧の構成
- Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- [Password(パスワード)]行で、[Actions(アクション)]>[Edit(編集)]をクリックします。
- 既存のパスワードポリシーで、[Add Rule(ルールを追加)]をクリックするか、既存のルールを編集します。
-
必要に応じて次のオプションを構成します:
- IF[User’s IP is(ユーザーのIPの場所)]:[Anywhere(すべての場所)]、[In zone(ゾーン内)]、[Not in zone(ゾーン外)]のうち、ユーザーのIPがどこに位置している場合にルールを呼び出すかを指定します。
- THEN[User can perform self-service(ユーザーは次をセルフサービスで実行可能)]:
- [Password change (from account settings)(パスワード変更(アカウント設定から))]:ユーザーは、パスワードと別の要素(登録されている場合)を使用して認証するとパスワードを変更できるようになります。
- [Password reset(パスワードリセット)]:ユーザーは、復旧設定で構成されている任意のオーセンティケーターを使って検証することで、忘れたパスワードをリセットできます。
- [Unlock account(アカウントロック解除)]:ユーザーは、復旧設定で構成されている任意のオーセンティケーターを使用して検証することで、アカウントのロックを解除できます。
- AND[Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]:
- Okta Verify(プッシュ通知のみ)
- 電話(SMS /音声通話)
- メール
- AND[Additional verification is(追加の検証に関する設定)]:
- [Not required(不要)]:ユーザーが第2要素を使用して認証を行う必要はありません。
- [Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みオーセンティケーター)]:ユーザーは、MFAオーセンティケーター(Okta Verify、メール、電話、セキュリティキー)を第2要素として使用し、認証する必要があります。
- [Only Security Question(セキュリティ質問のみ)]:ユーザーは、第2要素として使用するセキュリティ質問に回答する必要があります。
追加の検証を提供するために、復旧の開始に選択したものと同じオーセンティケーターを使用することはできません。AND[Additional verification is(追加の検証に関する設定)]オプションで選択するオーセンティケーターは、AND[Users can initiate recovery with(ユーザーは次を使用してリカバリーを開始可能)]オプションで選択するオーセンティケーターとは異なることを確認します。
また、Oktaは復旧の開始用に選択するオーセンティケーターのほかに、可能な限り多くのオーセンティケーターに登録するようにユーザーに求めることを推奨します。復旧開始用に選択するオーセンティケーターにしかユーザーが登録できないようにすると、サインインなど、復旧以外の状況でユーザーは自分の認証にオーセンティケーターを使用できなくなります。可能な限り多くのオーセンティケーターに登録するようにユーザーに求めることで、ユーザーは復旧と復旧以外の両方の状況でオーセンティケーター常に使用できるようになります。これらのオーセンティケーターはオーセンティケーター登録ポリシーで必須として構成し、アクティブ化した復旧以外のすべてのオーセンティケーターにユーザーが登録するように要求します。
-
パスワードポリシールールを作成または更新して、変更内容を保存します。
推奨される構成
一部の構成では、アカウントの回復を開始するときにユーザーが認証できなくなる可能性があります。復旧の開始用に選択したものと同じオーセンティケーターを、追加の検証を提供するために使用することはできません。詳細については、「セルフサービスのアカウントの復旧の構成」を参照してください。次の表に、避けるべき構成の例、説明、代わりの推奨される構成を示します。
|
避けるべき構成 |
理由 |
代わりに使用する構成 |
|---|---|---|
|
Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、メールオーセンティケーターおよび電話オーセンティケーターの[Actions(アクション)]と[Edit(編集)]を選択して、[Used for(用途)]の設定を表示します。
Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Password(パスワード)]行の[Actions(アクション)]>[Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。
|
ユーザーがアカウント復旧を試みると、復旧を開始するために[Email(メール)]オプションと[Phone(電話)]オプションが表示されます。[Email(メール)]は[Authentication(認証)]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Phone(電話)]を選択した場合、二次検証を完了できません。 |
|
|
Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Password(パスワード)]行の[Actions(アクション)]>[Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。
|
ユーザーがアカウント復旧を試みると、復旧を開始するために[Email(メール)]オプションと[Okta Verify]オプションが表示されます。[Email(メール)]は[Authentication(認証)]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Okta Verify]を選択した場合、二次検証を完了できません。 |
|
|
Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、メールオーセンティケーターおよび電話オーセンティケーターの[Actions(アクション)]と[Edit(編集)]を選択して、[Used for(用途)]の設定を表示します。
Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Password(パスワード)]行の[Actions(アクション)]>[Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。
|
ユーザーは、この構成の回復プロセスを開始できません。登録ポリシーで必須に設定されていないため、Okta Verifyまたは電話に登録するよう求められません。 |
電話、Okta Verify、またはその両方を使用して復旧を開始するには、登録ポリシーの一部としてこれらのオーセンティケーターが[Required(必須)]に設定されていることを確認してください。 |
|
Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Password(パスワード)]行の[Actions(アクション)]>[Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。
|
ユーザーがアカウント復旧を試みると、復旧を開始するために[Phone(電話)]オプションと[Okta Verify]オプションが表示されます。[Phone(電話)]は[Authentication(認証)]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Okta Verify]を選択した場合、二次検証を完了できません。 |
|
|
Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Email(メール)]オーセンティケーターおよび[Phone(電話)]オーセンティケーターの[Actions(アクション)]>[Edit(編集)]を選択して、[Used for(用途)]の設定を表示します。
Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動し、[Password(パスワード)]行の[Actions(アクション)]>[Edit(編集)]をクリックします。調べるルールの鉛筆アイコンをクリックします。
|
ユーザーがアカウント復旧を試みると、復旧を開始するために[Okta Verify]、[Email(メール)]、[Phone(電話)]オプションが表示されます。[Email(メール)]と[Phone(電話)]は[Authentication(認証)]用ではなく[Recovery(復旧)]用に構成されているため、ユーザーが[Okta Verify]を選択した場合、二次検証を完了できません。 |
|
- メールと電話は、パスワードのリセットやアカウントのロック解除を行うためにオフにすることが可能なMFAオーセンティケーターです。
- 追加の検証手順としてセキュリティ質問を有効にすることもできます。「MFAオーセンティケーターについて」を参照してください。
- LDAPをソースとするOktaユーザーアカウントに対してロック解除オプションを選択すると、Oktaでユーザーアカウントをロック解除しても、オンプレミスLDAPインスタンスではロックされたままになります。
- [Security(セキュリティ)]>[Authenticators(オーセンティケーター)]ページの[Enrollment(登録)]タブで、すべてのオーセンティケーターを[Optional(任意)]に設定しないでください。メール以外のオーセンティケーターを少なくとも2つ[Required(必須)]に設定してください。
- 日常的な認証に選択したオーセンティケーターを復旧に使用しないでください。
- 追加の検証を構成するには、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用する任意の登録済みオーセンティケーター)]オプションを使用します。[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]>[Setup(セットアップ)]に移動し、[Actions(アクション)]>[Edit(編集)]>[Password(パスワード)]をクリックします。パスワードポリシールールで、[Any enrolled authenticator used for MFA/SSO(MFA/SSOに使用される任意の登録済みオーセンティケーター)] オプションを選択します。
関連項目
Okta Verifyオーセンティケーターの構成