パスワードの復旧とアカウントのロック解除のルールを追加する
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
ユーザーがパスワードをリセットするとき、またはアカウントをロック解除するときにフィッシング耐性のあるAuthenticatorを必須とするには、このルールを追加します。
従来、パスワードポリシーでは、これらのセルフサービスプロセスの認証要件を制御します。これらのプロセスの一方または両方でフィッシング耐性に切り替える準備ができていない場合は、パスワードポリシーを使用し続けることができます。
前提条件
Sign-In Widgetバージョン7.2以降(第3世代)を使用する必要があります。
org内のすべてのユーザーがフィッシング耐性のあるAuthenticatorを使用できなければなりません。「Authenticator登録ポリシーを作成する」を参照してください。
開始する前に
パスワードポリシーのアクセスコントロール設定を変更します。
-
Admin Consoleで に移動します。
- [Password(パスワード)]行で、 をクリックします。
- [Rules(ルール)セクションで、デフォルトルールの編集アイコンをクリックします。
- [Recovery authenticators(復旧Authenticator)]セクションで、[Access control(アクセスコントロール)]条件を[Authentication policy(認証ポリシー)]に設定します。
- [Update rule(ルールを更新)]をクリックします。
- その他のパスワードポリシールールについてステップ3~5を繰り返します。
- 各ルールの[Users can perform self-service(ユーザーは次をセルフサービスで実行可能)]条件を確認します。ロック解除および復旧プロセスが既存のルール(組み合わせまたは統合)でカバーされていない場合は、これらのプロセスを明確に許可するルールを追加します。追加した新ルールはデフォルトでは[Authentication policy(認証ポリシー)]設定になります。
アカウント管理ポリシーを構成する
-
Admin Consoleで に移動します。
-
[Okta Account Management Policy(Oktaアカウント管理ポリシー)]を選択します。
-
[Add Rule(ルールを追加)]をクリックします。
-
わかりやすい名前を入力します(「フィッシング耐性のあるパスワードおよびアカウント復旧」など)。
-
次のIF条件を設定します。
-
[User type(ユーザータイプ)]:[任意のユーザータイプ]
-
[User group membership includes(ユーザーのグループメンバーシップ:)]:[任意]
-
[User is(ユーザー:)]:[任意]
-
[Device platform is(デバイスプラットフォーム)]:任意のプラットフォーム
-
[User's IP is(ユーザーのIP:)]:[任意]
-
[Risk is(リスク)]:任意
-
[The following custom expression is true(次のカスタム式をtrueとする)]:accessRequest.operation == 'recover'|| accessRequest.operation == 'unlockAccount'
-
-
次のTHEN条件を設定します。
-
[Access is(アクセス:)]:[認証の成功後に許可]
-
[User must authenticate with(ユーザーが使用する認証方法)]:[所有要素]
-
[Possession factor constraints are(所有要素の制約)]:[フィッシング耐性]
-
[Authentication methods(認証方法)]:[要件を満たすために使用できる任意の方法を許可]
-
[Prompt for authentication(認証のためのプロンプト)]:ユーザーがリソースにサインインするたび
-
-
[Save(保存)]をクリックします。
このルールの優先度はキャッチオールより上、ただし最初のフィッシング耐性のあるAuthenticator(追加した場合)より下に設定します。必ず最初のフィッシング耐性のあるAuthenticatorルールを優先度1のままにしてください。
ユーザーエクスペリエンス
パスワードの復旧とアカウントのロック解除をアカウント管理ポリシーに移動してもユーザーエクスペリエンスは変化しません。ただし、アカウント管理ポリシーが以下の機能とどのように連携するかを理解してください。
-
[Keep me signed in(サインインしたままにする)]は、認証頻度を正しく構成した場合には、アカウント管理ポリシーと連携します。[Prompt for authentication(認証を求める)]設定は、Okta Dashboard認証ポリシーの対応する設定よりも頻繁にする必要があります。Oktaアカウント管理ポリシーで[Prompt for authentication(認証を求める)]を[毎回]に設定すると、ユーザーはパスワードのリセットを待つ必要がなくなります。
-
[User enumeration prevention(ユーザーによる列挙の防止)]は、Oktaアカウント管理ポリシーを使用した復旧シナリオではサポートされません。
ユーザー設定
ユーザーがこのルールの要件を満たさない場合、パスワードの[Reset(リセット)]オプションと[Remove(削除)]オプションは表示されません。ユーザーが登録していない鑑別工具も表示されません。