一時アクセスコードauthenticatorを構成する
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
一時アクセスコード(TAC) authenticatorを使用すると、ユーザーのUniversal Directoryプロファイルから一時アクセスコードを生成できます。このauthenticatorを使用すると、ユーザーが自宅にセキュリティキーを忘れた場合など、オンボーディングや一時的なアクセスシナリオで、ユーザーがOktaへの一時的なアクセスを安全に得られるようになります。
管理者はこのauthenticatorを有効化し、ポリシーに追加します。ユーザーが一時パスコードを必要とする場合、十分な権限を持つOkta管理者が次のタスクを実行します。
- ユーザーのIDを確認します。
- ユーザーのプロファイを表示します。
- TACを作成します。
- 電話など、安全な帯域外チャネルを介してユーザーにTACを提供します。
ユーザーは、認証時にSign-In WidgetにTACを入力します。
このAuthenticatorは知識要素であり、ユーザーの存在の要件を満たします。単一の知識要素として、ポリシー内の[Any 2 factor types(任意の2要素タイプ)]要件を満たしません。「多要素認証」を参照してください。
Okta APIを使用したこのauthenticatorを操作については、「一時アクセスコードauthenticator統合ガイド」を参照してください。
開始する前に
- グループを作成し、TAC usersと名前を付けます。
- TAC usersグループで管理者からTACを受け取る資格のあるユーザーを追加します。「ユーザーをグループに手動で割り当て」または「ユーザーをグループに一括で割り当て」を参照してください。
- ロールを作成し、TAC admin roleと名前を付けます。
- [Manage user's temporary access code permission(ユーザーの一時アクセスコード権限を管理する)]を検索し、チェックボックスを選択します。
- リソースセットを作成し、TAC resource setと名前を付けます。[Add resource(リソースを追加)]の手順で、[Users(ユーザー)] を選択し、作成したTAC usersグループを選択します。
- 管理者を使用して管理者ロールの割り当てを作成します。[From the People page([ユーザー]ページから)]または[From the Groups page([グループ]ページから)]セクションの手順に従います。
- TAC管理者ロールを選択します。
- TACリソースセットを選択します。
- [Save Changes(変更を保存)]をクリックします。
TAC authenticatorの追加
-
Admin Consoleで に移動します。
-
[Setup(設定)]タブで[Add Authenticator(Authenticatorを追加)]をクリックします。
-
Authenticatorタイルの[Add(追加)]をクリックします。
構成オプション
-
次のオプションを構成します。
- [Minimum expire length(最短有効期限)]:期間を入力し、時間の単位を選択します。
- [Maximum expires length(最長有効期限)]:期間を入力し、時間の単位を選択します。
- [Default expiry length(デフォルトの有効期限)]:期間を入力し、時間の単位を選択します。
- [Character length(文字の長さ)]:TACに表示する文字数を入力します。
- [Code complexity(コードの複雑さ)]:TACに含めるオプションを選択します。
- [Numbers(数値)]:TACに数値を含めます。これはNIST要件です。
- [Letters(文字)]:TACに文字を含めます。
- [Special characters(特殊文字)]:TACに特殊文字を含めます。
- [Allow multi-use codes(複数回使用コードを許可する)]:ユーザーが自分のTACを複数回使用できるようにするには、[Allow Admin to create multi-use codes(管理者が複数回使用コードを作成することを許可する)]を選択します。
-
[Add(追加)]をクリックします。[Setup(設定)]タブのリストにAuthenticatorが表示されます。
authenticator登録ポリシーでTAC authenticatorステータスを変更する
OktaでTAC authenticatorを追加すると、authenticator登録ポリシーに[Optional(任意)]のステータスで自動的に追加されます。このステータスは、ユーザーのグループに対してTACを生成できることを意味します。ユーザーのグループがTACSを利用できないようにするときは、ステータスを [Disabled(無効)] に変更できます。このauthenticatorのステータスを[Required(必須)]に設定することはできません。authenticator登録ポリシーに指定されている場合でも、ユーザーはこのauthenticatorへの登録を求められません。このauthenticatorを無効にすると、OktaのサインインページにTACのプロンプトが表示されなくなります。TACを生成するオプションは引き続きユーザーのUniversal Directory(UD)プロファイルに表示され、管理者は引き続きユーザーのTACを生成できます。
-
Admin Consoleで に移動します。
- [Enrollment(登録)]タブをクリックします。
- ポリシーを作成するか、既存のポリシーを編集します。「Authenticator登録ポリシーを作成する」を参照してください。
-
デフォルトでは、ステータスは[Optional(任意)]に設定されます。無効にするには、ステータスを[Disabled(無効)]に設定します。以前に無効にしていた場合、再度有効にするには[Optional(任意)]を選択します。
認証ポリシーでTACを必須にする
- 認証ポリシーを作成します。「認証ポリシーを作成する」を参照してください。
- 認証ポリシールールを追加します。「認証ポリシールールを追加する」を参照してください。
- [User must authenticate with(ユーザーが認証に使用する要素)]セクションでオプションを選択します。
- [Authentication methods(認証方法)]セクションで、[Allow specific authentication methods(特定の認証方法を許可する)]を選択し、フィールドに [Temporary Access Code(一時アクセスコード)] を入力します。
- [Prompt for authentication(認証のためのプロンプト)]セクションで[Every time user signs in to resource(ユーザーがリソースにサインインするたび)]を選択します。
認証方法チェーンにTAC authenticatorを含める
認証方法チェーンを使用すると、構成した順序でAuthenticatorを使用してユーザーにIDの確認を要求できます。「認証方法チェーン」を参照してください。
- 認証ポリシールールで[User must authenticate with(ユーザーが認証に使用する要素)]ドロップダウンメニューに移動し、[Authentication method chain(認証方法チェーン)]を選択します。
- 認証方法の1つとして[Temporary Access Code(一時アクセスコード)]を選択します。TACを求められる前にユーザーに別の方法で認証させたい場合は、その方法を最初の認証方法として選択します。2番目の方法として[Temporary Access Code(一時アクセスコード)]を選択します。
- [Every time user signs in to resource(ユーザーがリソースにサインインするたび)]を選択します。
- 必要に応じてその他の設定を構成します。
TAC authenticatorを編集または削除する
Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。
- [Authenticator]で、[Setup(設定)]タブに移動します。
- Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]または[Delete(削除)]を選択します。
TACの作成
ユーザーが一度に持てるアクティブTACは1つです。新しいTACを作成すると、既存のTACは自動的に取り消されます。
-
Admin Consoleで、 に移動します。
- TACを作成する人を探します。
- [More actions(その他のアクション)]メニューから、[Create Temporary Access Code(一時アクセスコードを作成)]を選択します。
- ダイアログで、TACの有効期間を構成します。長さフィールドに、許容される最小値と最大値の範囲内で値を入力します。「構成オプション」セクションをご覧ください。
- [unit of time(時間の単位)]ドロップダウンメニューからオプションを選択します。
- [One-time use(一度だけ使用)]または[Multi-use(複数回使用)]を選択します。これらのオプションは、このauthenticatorの構成時に複数回使用TACを有効にした場合に表示されます。
- [Create code(コードを作成)]をクリックします。
- OktaはTACを表示します。このコードを渡す前に、必ずユーザーのIDを確認してください。
ダイアログを閉じると、TACは再表示されません。TACの作成日時と有効期限のみが表示されます。
- ユーザーのAuthenticatorをリセットするには、[Reset authenticators(Authenticatorをリセット)をクリックします。これは、ユーザーがデバイスを紛失した場合に役立ちます。
- TACを直ちに取り消すには、[Expire code(コードを期限切れにする)]をクリックします。別のTACを作成するには、この手順を繰り返します。
- [Close(閉じる)]をクリックします。
既存のTACのAuthenticatorをリセットしコードを期限切れにする
この手順は、ユーザーに既存のTACがある場合にのみ実行できます。この手順を実行する前に、「TACの作成」の手順を完了してください。
-
Admin Consoleで、 に移動します。
- TACを作成したユーザーを検索します。
- [More actions(その他のアクション )]メニューから、[View active Temporary Access Code details(アクティブな一時アクセスコードの詳細を表示する)]を選択します。[Temporary Access Code(一時アクセスコード)]ダイアログが表示されます。
- ユーザーのAuthenticatorをリセットするには、[Reset authenticators(Authenticatorをリセット)]をクリックします。これは、ユーザーがデバイスを紛失した場合に役立ちます。
- TACを直ちに取り消すには、[Expire code(コードを期限切れにする)]をクリックします。別のTACを作成するには、「TACの作成」の手順を実行します。
- [Close(閉じる)]をクリックします。
エンドユーザーエクスペリエンス
- ユーザーがヘルプデスクに電話して、TACを要求します。以下のような状況を含め、このコードを要求する理由はたくさんあるでしょう。
- ユーザーがYubiKeyを自宅に忘れた。
- ユーザーが新しい従業員でオンボーディング中である。まだauthenticatorを登録していない。
- セキュリティ方式で認証できず、アカウントがロックされている。
- ヘルプデスクエージェントは、電話または組織が選択した別の方法でユーザーのIDを確認します。
- ヘルプデスクエージェントがユーザーのIDを正常に確認すると、TACを作成してユーザーに提供します。
- エンドユーザーは、Oktaサインインページに移動します。
- Sign-In WidgetからTACの入力を求められたら、ユーザーはTACを入力します。また、サインインポリシーで求められる場合は、別の方法での認証が必要になる可能性もあります。
- ユーザーは、Oktaまたはアプリへのアクセスを取得します。