パスワードの復旧とアカウントのロック解除のルールを追加する

ユーザーがアカウントをロック解除するまたは現在のパスワードをリセットする際にフィッシング耐性のあるAuthenticatorを必須とするには、このルールを追加します。期限切れのパスワードをリセットする必要があるユーザーには、セカンダリルールの追加を検討してください。パスワードの有効期限を有効化するを参照してください。

前提条件

orgが第三世代Sign-In Widget を使用している場合、すべてのブランドをバージョン7.20以降にアップグレードします。

org内のすべてのユーザーがフィッシング耐性のあるAuthenticatorを使用できなければなりません。Authenticator登録ポリシーを作成するを参照してください。

ポリシーでデバイス条件を使用する場合は、Oktaアカウント管理ポリシー(Okta account management policies)(Device conditions in Okta account management policies)の早期アクセス機能を有効にしてください。セルフサービス機能を有効にするを参照してください。

このタスクを開始する

パスワードポリシーのアクセスコントロール設定を変更します。

  1. Admin Consoleで、セキュリティ(Security) > Authenticatorに移動します。

  2. パスワード(Password)行で、アクション(Actions) > 編集(Edit)をクリックします。
  3. ルール([Rules)セクションで、デフォルトルールの編集アイコンをクリックします。
  4. 復旧Authenticator(Recovery authenticators)セクションで、アクセスコントロール(Access control)条件を 認証ポリシー に設定します。
  5. ルールを更新(Update rule)をクリックします。
  6. その他のパスワードポリシールールについてステップ3~5を繰り返します。
  7. 各ルールのユーザーは次をセルフサービスで実行可能(Users can perform self-service)条件を確認します。ロック解除および復旧プロセスが既存のルール(組み合わせまたは統合)でカバーされていない場合は、これらのプロセスを明確に許可するルールを追加します。追加した新ルールはデフォルトでは 認証ポリシー 設定になります。

ルールを追加する

  1. Admin Consoleセキュリティ(Security) > 認証ポリシー に移動します。

  2. Okta account managementを選択します。
  3. ルールを追加(Add Rule)をクリックします。
  4. わかりやすいルール名を入力します(Phishing-resistant password and account recoveryなど)。
  5. 次のIF条件を設定します。デバイス条件は早期アクセス機能です。
    • ユーザーのユーザータイプ(User's user type is):[任意のユーザータイプ]
    • ユーザーのグループメンバーシップ(User's group membership includes):[任意]
    • ユーザー:(User is):[任意]
    • デバイスの状態:(Device state is):[登録済み]
    • デバイス管理:(Device management is)管理対象(:[Managed)]
    • デバイス保証ポリシー:(Device assurance policy is):[いずれかのポリシー]
    • デバイスプラットフォーム(Device platform is):任意のプラットフォーム
    • ユーザーのIP:(User's IP is):[任意]
    • リスク(Risk is):任意
    • 次のカスタム式をtrueとする(The following custom expression is true)accessRequest.operation == 'recover'|| accessRequest.operation == 'unlockAccount' 式の中でデバイス関連の操作も使用できます。
  6. 次のTHEN条件を設定します。
    • アクセス:(Access is):[認証の成功後に許可]
    • ユーザーが使用する認証方法(User must authenticate with):[所有要素]
    • 所有要素の制約(Possession factor constraints are):[フィッシング耐性]
    • 認証方法(Authentication methods):[要件を満たすために使用できる任意の方法を許可]
    • 認証のためのプロンプト(Prompt for authentication):ユーザーがリソースにサインインするたび
  7. 保存(Save)をクリックします。

キャッチオールルールのすぐ上に新しいルールが追加されます。

例外

管理者が開始するパスワードリセットフローは、Okta Account Managementポリシーを強制適用しません。ユーザーはメール内のリンクをクリックする必要がありますが、追加の要素は求められません。

パスワードの有効期限を有効にしない限り、パスワードの有効期限フローはOkta Account Managementポリシーを強制適用しません。

アプリ・サインイン・ポリシーでMFAを必須にして、すべてのアプリを保護します。

ユーザーエクスペリエンス

パスワードの復旧とアカウントのロック解除をアカウント管理ポリシーに移動してもユーザーエクスペリエンスは変化しません。

  • ユーザーが現在のパスワードをリセットしても、パスワード + 別の要素(password + another factor)を必須にしている場合は、パスワードを要素として使用できません。パスワード以外に、ユーザーが認証できるAuthenticatorが少なくとも2つ以上あることを確認してください。
  • サインインしたままにする(Keep me signed in)は、認証頻度を正しく構成した場合には、アカウント管理ポリシーと連携します。認証を求める(Prompt for authentication)設定は、End-User Dashboardのアプリ・サインイン・ポリシーの対応する設定よりも頻繁にする必要があります。Oktaアカウント管理ポリシーで認証を求める(Prompt for authentication)を[毎回]に設定すると、ユーザーはパスワードのリセットを待つ必要がなくなります。
  • ユーザーによる列挙の防止(User enumeration prevention)は、Oktaアカウント管理ポリシーを使用した復旧シナリオではサポートされません。

ユーザー設定

ユーザーがこのルールの要件を満たさない場合、パスワードのリセット(Reset)オプションと削除(Remove)オプションは表示されません。ユーザーが登録していないAuthenticatorも表示されません。

関連項目

Oktaアカウント管理ポリシー(Okta account management policy)

Authenticator登録のルールを追加する

Oktaアカウント管理ポリシーを編集する