一時アクセスコードauthenticatorを構成する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

一時アクセスコード(TAC) authenticatorを使用すると、ユーザーのUniversal Directoryプロファイルから一時アクセスコードを生成できます。このauthenticatorを使用すると、ユーザーが自宅にセキュリティキーを忘れた場合など、オンボーディングや一時的なアクセスシナリオで、ユーザーがOktaへの一時的なアクセスを安全に得られるようになります。

管理者はこのauthenticatorを有効化し、ポリシーに追加します。ユーザーが一時パスコードを必要とする場合、十分な権限を持つOkta管理者が次のタスクを実行します。

  • ユーザーのIDを確認します。
  • ユーザーのプロファイを表示します。
  • TACを作成します。
  • 電話など、安全な帯域外チャネルを介してユーザーにTACを提供します。

ユーザーは、認証時にSign-In WidgetにTACを入力します。

このAuthenticatorは知識要素であり、ユーザーの存在の要件を満たします。単一の知識要素として、ポリシー内の[Any 2 factor types(任意の2要素タイプ)]要件を満たしません。「多要素認証」を参照してください。

Okta APIを使用したこのauthenticatorを操作については、「一時アクセスコードauthenticator統合ガイド」を参照してください。

開始する前に

  1. グループを作成しTAC usersと名前を付けます。
  2. TAC usersグループで管理者からTACを受け取る資格のあるユーザーを追加します。「ユーザーをグループに手動で割り当て」または「ユーザーをグループに一括で割り当て」を参照してください。
  3. ロールを作成しTAC admin roleと名前を付けます。
  4. [Manage user's temporary access code permission(ユーザーの一時アクセスコード権限を管理する)]を検索し、チェックボックスを選択します。
  5. リソースセットを作成しTAC resource setと名前を付けます。[Add resource(リソースを追加)]の手順で、[Users(ユーザー)] を選択し、作成したTAC usersグループを選択します。
  6. 管理者を使用して管理者ロールの割り当てを作成します[From the People page([ユーザー]ページから)]または[From the Groups page([グループ]ページから)]セクションの手順に従います。
    1. TAC管理者ロールを選択します。
    2. TACリソースセットを選択します。
    3. [Save Changes(変更を保存)]をクリックします。

TAC authenticatorの追加

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [Setup(設定)]タブで[Add Authenticator(Authenticatorを追加)]をクリックします。

  3. Authenticatorタイルの[Add(追加)]をクリックします。

構成オプション

  1. 次のオプションを構成します。

    • [Minimum expire length(最短有効期限)]:期間を入力し、時間の単位を選択します。
    • [Maximum expires length(最長有効期限)]:期間を入力し、時間の単位を選択します。
    • [Default expiry length(デフォルトの有効期限)]:期間を入力し、時間の単位を選択します。
    • [Character length(文字の長さ)]:TACに表示する文字数を入力します。
    • [Code complexity(コードの複雑さ)]:TACに含めるオプションを選択します。
      • [Numbers(数値)]:TACに数値を含めます。これはNIST要件です。
      • [Letters(文字)]:TACに文字を含めます。
      • [Special characters(特殊文字)]:TACに特殊文字を含めます。
    • [Allow multi-use codes(複数回使用コードを許可する)]:ユーザーが自分のTACを複数回使用できるようにするには、[Allow Admin to create multi-use codes(管理者が複数回使用コードを作成することを許可する)]を選択します。

  2. [Add(追加)]をクリックします。[Setup(設定)]タブのリストにAuthenticatorが表示されます。

authenticator登録ポリシーでTAC authenticatorステータスを変更する

OktaでTAC authenticatorを追加すると、authenticator登録ポリシーに[Optional(任意)]のステータスで自動的に追加されます。このステータスは、ユーザーのグループに対してTACを生成できることを意味します。ユーザーのグループがTACSを利用できないようにするときは、ステータスを [Disabled(無効)] に変更できます。このauthenticatorのステータスを[Required(必須)]に設定することはできません。authenticator登録ポリシーに指定されている場合でも、ユーザーはこのauthenticatorへの登録を求められません。このauthenticatorを無効にすると、OktaのサインインページにTACのプロンプトが表示されなくなります。TACを生成するオプションは引き続きユーザーのUniversal Directory(UD)プロファイルに表示され、管理者は引き続きユーザーのTACを生成できます。

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [Enrollment(登録)]タブをクリックします。
  3. ポリシーを作成するか、既存のポリシーを編集します。「Authenticator登録ポリシーを作成する」を参照してください。

  4. デフォルトでは、ステータスは[Optional(任意)]に設定されます。無効にするには、ステータスを[Disabled(無効)]に設定します。以前に無効にしていた場合、再度有効にするには[Optional(任意)]を選択します。

認証ポリシーでTACを必須にする

  1. 認証ポリシーを作成します。「認証ポリシーを作成する」を参照してください。
  2. 認証ポリシールールを追加します。「認証ポリシールールを追加する」を参照してください。
  3. [User must authenticate with(ユーザーが認証に使用する要素)]セクションでオプションを選択します。
  4. [Authentication methods(認証方法)]セクションで、[Allow specific authentication methods(特定の認証方法を許可する)]を選択し、フィールドに [Temporary Access Code(一時アクセスコード)] を入力します。
  5. [Prompt for authentication(認証のためのプロンプト)]セクションで[Every time user signs in to resource(ユーザーがリソースにサインインするたび)]を選択します。

認証方法チェーンにTAC authenticatorを含める

認証方法チェーンを使用すると、構成した順序でAuthenticatorを使用してユーザーにIDの確認を要求できます。「認証方法チェーン」を参照してください。

  1. 認証ポリシールールで[User must authenticate with(ユーザーが認証に使用する要素)]ドロップダウンメニューに移動し、[Authentication method chain(認証方法チェーン)]を選択します。
  2. 認証方法の1つとして[Temporary Access Code(一時アクセスコード)]を選択します。TACを求められる前にユーザーに別の方法で認証させたい場合は、その方法を最初の認証方法として選択します。2番目の方法として[Temporary Access Code(一時アクセスコード)]を選択します。
  3. [Every time user signs in to resource(ユーザーがリソースにサインインするたび)]を選択します。
  4. 必要に応じてその他の設定を構成します。

TAC authenticatorを編集または削除する

Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

  1. [Authenticator]で、[Setup(設定)]タブに移動します。
  2. Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]または[Delete(削除)]を選択します。

TACの作成

ユーザーが一度に持てるアクティブTACは1つです。新しいTACを作成すると、既存のTACは自動的に取り消されます。

  1. Admin Consoleで、[Directory(ディレクトリ)][People(ユーザー)]に移動します。

  2. TACを作成する人を探します。
  3. [More actions(その他のアクション)]メニューから、[Create Temporary Access Code(一時アクセスコードを作成)]を選択します。
  4. ダイアログで、TACの有効期間を構成します。長さフィールドに、許容される最小値と最大値の範囲内で値を入力します。「構成オプション」セクションをご覧ください。
  5. [unit of time(時間の単位)]ドロップダウンメニューからオプションを選択します。
  6. [One-time use(一度だけ使用)]または[Multi-use(複数回使用)]を選択します。これらのオプションは、このauthenticatorの構成時に複数回使用TACを有効にした場合に表示されます。
  7. Create code(コードを作成)]をクリックします。
  8. OktaはTACを表示します。このコードを渡す前に、必ずユーザーのIDを確認してください。

    ダイアログを閉じると、TACは再表示されません。TACの作成日時と有効期限のみが表示されます。

  9. ユーザーのAuthenticatorをリセットするには、[Reset authenticators(Authenticatorをリセット)をクリックします。これは、ユーザーがデバイスを紛失した場合に役立ちます。
  10. TACを直ちに取り消すには、[Expire code(コードを期限切れにする)]をクリックします。別のTACを作成するには、この手順を繰り返します。
  11. [Close(閉じる)]をクリックします。

既存のTACのAuthenticatorをリセットしコードを期限切れにする

この手順は、ユーザーに既存のTACがある場合にのみ実行できます。この手順を実行する前に、「TACの作成」の手順を完了してください。

  1. Admin Consoleで、[Directory(ディレクトリ)][People(ユーザー)]に移動します。

  2. TACを作成したユーザーを検索します。
  3. [More actions(その他のアクション )]メニューから、[View active Temporary Access Code details(アクティブな一時アクセスコードの詳細を表示する)]を選択します。[Temporary Access Code(一時アクセスコード)]ダイアログが表示されます。
  4. ユーザーのAuthenticatorをリセットするには、[Reset authenticators(Authenticatorをリセット)]をクリックします。これは、ユーザーがデバイスを紛失した場合に役立ちます。
  5. TACを直ちに取り消すには、[Expire code(コードを期限切れにする)]をクリックします。別のTACを作成するには、「TACの作成」の手順を実行します。
  6. [Close(閉じる)]をクリックします。

エンドユーザーエクスペリエンス

  1. ユーザーがヘルプデスクに電話して、TACを要求します。以下のような状況を含め、このコードを要求する理由はたくさんあるでしょう。
    • ユーザーがYubiKeyを自宅に忘れた。
    • ユーザーが新しい従業員でオンボーディング中である。まだauthenticatorを登録していない。
    • セキュリティ方式で認証できず、アカウントがロックされている。
  2. ヘルプデスクエージェントは、電話または組織が選択した別の方法でユーザーのIDを確認します。
  3. ヘルプデスクエージェントがユーザーのIDを正常に確認すると、TACを作成してユーザーに提供します。
  4. エンドユーザーは、Oktaサインインページに移動します。
  5. Sign-In WidgetからTACの入力を求められたら、ユーザーはTACを入力します。また、サインインポリシーで求められる場合は、別の方法での認証が必要になる可能性もあります。
  6. ユーザーは、Oktaまたはアプリへのアクセスを取得します。

関連項目

グローバルセッションポリシー

認証ポリシー

Authenticator登録ポリシー