オーセンティケーター登録ポリシーとルールについて
オーセンティケーター登録ポリシーは、ユーザーが自分自身をオーセンティケーターに登録する方法を制御します。特定のオーセンティケーターや状況に応じて、ポリシーとルールを作成して適用し、特定のユーザーグループに使用を要求できます。
グローバルセッションポリシーによって、エンドユーザーがアカウントにサインインするときに発生する認証のチャレンジタイプが決まります。ポリシーを利用することで、サインインの許可またはブロックに使用できる各種条件を構成できます。
- ユーザーの場所の決定
- ユーザーが割り当てられているグループの識別
- ユーザーが使用しているオーセンティケータータイプの識別
アクセスの許可やチャレンジの要求など、実行するアクションもポリシーで指定できます。
動作の変更点
- セルフサービスパスワードリセット(SSPR)のパスワードポリシーに表示されるオーセンティケーターがシングルサインオンに対して有効になっていない場合、オーセンティケーターの登録ポリシーには表示されません。
- SSPRにメール、秘密の質問、または電話による認証が必要な場合は、登録要件が異なります。
- メールまたは秘密の質問:ユーザーはこれらのオーセンティケーターに登録する必要があります。
- 電話:ユーザーはこのオーセンティケーターに登録するかどうかを選択できます。
- 最初のチャレンジでの登録に対するアクションと、サインオンの登録に対するアクションは、区別されたアクションではなくなりました。必須のオーセンティケーターがない場合、ユーザーは、アプリへのサインイン時に必須オーセンティケーターへの登録が求められます。
- 管理者が必須として設定したオーセンティケーターに登録していないユーザーは、サインイン時に登録を求められます。
- アプリの認証ポリシーによって必須となるオーセンティケーターに登録していないユーザーは、アプリへのアクセス試行時に登録を求められます。
- オーセンティケーター登録ポリシーに電話とFIDO2(WebAuthn)(セキュリティキーまたは生体認証)がオプションオーセンティケーターとして構成されている場合、ユーザーはパスワードオーセンティケーターにのみ登録されます。所有要素タイプによる多要素認証(MFA)を必要とするアプリへのアクセスをユーザーが試みると、所有要素タイプを満たすオーセンティケーターへの登録が求められます。
- アカウント復旧の場合:ユーザーがメール、電話、セキュリティ質問による認証でセルフサービスの復旧を実行できるパスワードポリシーを管理者が作成している場合は、オーセンティケーター登録ポリシーでこれらの追加オーセンティケーターが無効になっていても、Oktaによりユーザーの初回サインイン時にこれらのオーセンティケーターへの登録が求められます。
- メールおよびセキュリティ質問のオーセンティケーターが復旧用のパスワードポリシールールに構成されている場合は、それが求められます。
- メールは自動登録されるため、エンドユーザーは手動で登録する必要はありません。
- 電話は任意です。
- 初回アカウント設定の場合:管理者が、あるオーセンティケーターのグループを使用して後続のサインオン時にユーザーが自分自身を認証できるようにするオーセンティケーター登録ポリシーを作成し、別のオーセンティケーターのグループを使用するセルフサービス復旧ポリシーを作成した場合、エンドユーザーは、初めてOktaに登録するときに、オーセンティケーター登録ポリシーとセルフサービス復旧ポリシーの両方のすべてのオーセンティケーターに自分自身を登録する必要があります。エンドユーザーは、この両方のポリシーのすべてのオーセンティケーターを使用できるようになります。アカウントの初回設定時には、これらのポリシーの両方がOktaによって同時に評価されます。エンドユーザーによるその後のサインオンでは、通常の処理ルールが適用されます。ポリシーは個別に評価され、オーセンティケーター登録ポリシーとセルフサービス復旧ポリシーの間にオーセンティケーターが「プール」されることはなくなります。
現在の制限
- SMSと音声の方法は、ポリシーで別々に表示されます。SMSまたは音声のいずれかを構成すると、ユーザーは電話オーセンティケーターへの登録が必要になります。
- たとえば、SMSが必要で音声が無効な場合は、電話オーセンティケーターが必要になり、ユーザーは音声の方法を使用して電話オーセンティケーターの登録と検証を行うことができます。
- パスワード:パスワードなしサインインエクスペリエンスが有効になっていない限り、パスワードは構成可能な要素として表示されます。パスワードなしサインインエクスペリエンスが無効になっている場合は、ユーザーが認証にソーシャル認証またはインバウンドフェデレーションを使用していない限り、パスワードは常に必要です。
- メール:任意または必須に設定すると、メールは必須として扱われ、ユーザーがアカウントにサインインすると自動登録されます。