セルフサービスのアカウント復旧

セルフサービスのアカウント復旧を使用すると、アクティブなエンドユーザーが管理サポートに問い合わせずにOktaパスワードをリセットしたり、アカウントのロックを解除したりできるようになります。

セルフサービスのアカウント復旧は、パスワードポリシーのルールを通じて構成できます。または、ユーザーがこれらのアクションを実行するときにフィッシング耐性のあるAuthenticatorを必須とする場合は、Oktaアカウント管理ポリシー(Okta account management policy)を参照してください。

開始する前に

  • アカウントの復旧に使用するすべてのAuthenticatorを有効にします。
  • アカウントの復旧にOkta Verifyを使用するときは、プッシュ通知(Push notification)オプションを有効にします。
  • 復旧以外のシナリオで使用する追加のAuthenticatorを有効にします。これは、復旧のシナリオで使用されるAuthenticatorとは異なる必要があります。復旧用のAuthenticatorを再利用して追加の検証を提供することはできません。
  • Authenticator登録ポリシーで、メール以外のAuthenticatorを少なくとも2つ必須(Required)に設定します。復旧と認証に利用できるAuthenticatorをユーザーが十分に確保できるように、複数のAuthenticatorへの登録をユーザーに求めることをお勧めします。Okta

セルフサービスのアカウント復旧の構成

  1. パスワードポリシーを追加します
  2. 任意。Oktaアカウント管理ポリシー機能を有効にしたものの、その機能をセルフサービスアクションに使用したくないときは、アクセスコントロール(Access control)条件をレガシー(Legacy)に設定します。
  3. 必要に応じてセルフサービスオプションを構成します。

推奨される構成

一部の構成では、アカウントの復旧中にユーザーの認証がブロックされる場合があります。次の表は、避けるべき構成の例、説明、代わりに推奨される構成を示しています。

避けるべき構成

理由(Reason)

代わりに使用する構成

Admin Consoleセキュリティ(Security) > Authenticatorに移動してメールおよび電話Authenticatorのアクション(Actions)編集(Edit)を選択し、用途(Used for)の設定を表示します。

メールは復旧(Recovery)に設定されています

  • 電話は認証と復旧(Authentication and recovery)に設定されています

  • その他のAuthenticatorは、有効化されていないか、認証用に登録する必要はありません

Admin Consoleセキュリティ(Security) > Authenticatorに移動し、パスワード(Password)行のアクション(Actions) > 編集(Edit)をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • ユーザーは次を使用して復旧を開始可能(Users can initiate recovery with)(Email)セクションでは、メール(Email)(Phone (SMS / Voice call))オプションとPhone (SMS / Voice call)(電話(SMS /通話))(Users can initiate recovery with)オプションが選択されています

  • 追加の検証に関する設定(Additional verification is)(Any enrolled authenticator used for MFA/SSO)セクションでは、MFA/SSOに使用する任意の登録済みAuthenticator(Any enrolled authenticator used for MFA/SSO)(Additional verification is)オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するオプションとしてメール(Email)電話(Phone)が表示されます。ユーザーが電話を選択した場合、メールは認証ではなく復旧用に構成されているため、2番目の検証を完了できません。

  • ルールを追加(Add Rule)(Recovery authenticators)またはルールを編集(Edit Rule)(Add Rule)ダイアログの復旧Authenticator(Recovery Authenticator)(Edit Rule)セクションで、復旧の開始が許可されるようにメールのみを有効にします。

  • メールと電話で復旧を開始できるようにし、MFA/SSOに使用される登録済みのAuthenticatorを使った追加の検証を求めるには:

    次のAuthenticatorを有効化し、Authenticator登録に必須(Required)として設定します。

    • Okta Verify

    • WebAuthn

    • Google Authenticator

Admin Consoleで、セキュリティ(Security) > Authenticatorに移動します。

メールは復旧(Recovery)に使用されます

  • Okta Verify認証(Authentication)復旧(Recovery)に使用されます

  • その他のAuthenticatorは、有効化されていないか、認証用に登録する必要はありません

Admin Consoleセキュリティ(Security) > Authenticatorに移動し、パスワード(Password)行のアクション(Actions) > 編集(Edit)をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • ユーザーは次を使用して復旧を開始可能(Users can initiate recovery with)セクションの復旧(Recovery)では、メール(Email)オプションとOkta Verifyオプションが有効化されています

  • 追加の検証に関する設定(Additional verification is)(Any enrolled authenticator used for MFA/SSO)セクションでは、MFA/SSOに使用する任意の登録済みAuthenticator(Any enrolled authenticator used for MFA/SSO)(Additional verification is)オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するためのオプションとしてメール(Email)Okta Verifyが表示されます。ユーザーがOkta Verifyを選択した場合、メールは認証ではなく復旧用に構成されているため、2番目の検証を完了できません。

  • ルールを追加(Add Rule)(Recovery authenticators)またはルールを編集(Edit Rule)(Add Rule)ダイアログの復旧Authenticator(Recovery Authenticator)(Edit Rule)セクションで、復旧の開始が許可されるようにメールのみを有効にします。

  • メールとOkta Verifyで復旧を開始できるようにし、MFA/SSOに使用される登録済みのAuthenticatorを使った追加の検証を求めるには:

    次のAuthenticatorを有効化し、Authenticator登録に必須(Required)として設定します。

    • 電話

    • WebAuthn

    • Google Authenticator

Admin Consoleセキュリティ(Security) > Authenticatorに移動してメールおよび電話Authenticatorのアクション(Actions)編集(Edit)を選択し、用途(Used for)の設定を表示します。

メールは復旧(Recovery)に設定されています

電話は認証(Authentication)復旧(Recovery)に設定されていますが、登録用に必須(Required)と設定されていません

Okta Verifyは認証と復旧に設定されていますが、登録用に必須と設定されていません

その他のAuthenticatorは、有効化されていないか、認証用に登録する必要はありません

Admin Consoleセキュリティ(Security) > Authenticatorに移動し、パスワード(Password)行のアクション(Actions) > 編集(Edit)をクリックします。調べるルールの鉛筆アイコンをクリックします。

ユーザーは次を使用して復旧を開始可能(Users can initiate recovery with)セクションでは、Okta Verifyオプションまたは電話(SMS /通話)(Phone (SMS / Voice call))オプションもしくはその両方が選択されています

Authenticator登録ポリシーがユーザーにOkta Verifyまたは電話への登録を求めていないため、ユーザーはこの構成の復旧プロセスを開始できません。

復旧の開始に電話、Okta Verify、または両方を使用するには、これらのAuthenticatorがAuthenticator登録ポリシーで必須(Required)に設定されていることを確認します。

Admin Consoleで、セキュリティ(Security) > Authenticatorに移動します。

電話は復旧(Recovery)に使用されます

  • Okta Verify認証(Authentication)復旧(Recovery)に使用されます

  • その他のAuthenticatorは、有効化されていないか、認証用に登録する必要はありません

Admin Consoleセキュリティ(Security) > Authenticatorに移動し、パスワード(Password)行のアクション(Actions) > 編集(Edit)をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • ユーザーは次を使用して復旧を開始可能(Users can initiate recovery with)セクションの復旧では、電話(Phone)オプションと Okta Verify オプションが有効化されています
  • 追加の検証に関する設定(Additional verification is)(Any enrolled authenticator used for MFA/SSO)セクションでは、MFA/SSOに使用する任意の登録済みAuthenticator(Any enrolled authenticator used for MFA/SSO)(Additional verification is)オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するオプションとして電話(Phone)Okta Verifyが表示されます。ユーザーがOkta Verifyを選択した場合、電話は認証ではなく復旧用に構成されているため、2番目の検証を完了できません。

  • ルールを追加(Add Rule)(Recovery authenticators)またはルールを編集(Edit Rule)(Add Rule)ダイアログの復旧Authenticator(Recovery Authenticator)(Edit Rule)セクションで、復旧の開始が許可されるように電話のみを有効にします。

  • 電話とOkta Verifyで復旧を開始できるようにし、MFA/SSOに使用される登録済みのAuthenticatorを使った追加の検証を求めるには:

    次のAuthenticatorを有効化し、Authenticator登録に必須(Required)として設定します。

    • メール

    • WebAuthn

    • Google Authenticator

Admin Consoleセキュリティ(Security) > Authenticatorに移動してメール(Email)および電話(Phone)Authenticatorのアクション(Actions) > と編集(Edit)を選択し、用途(Used for)の設定を表示します。

  • メールは復旧(Recovery)に設定されています
  • 電話は復旧(Recovery)に設定されています
  • Okta Verify 認証(Authentication)復旧(Recovery)に設定されています
  • その他のAuthenticatorは、有効化されていないか、認証用に登録する必要はありません

Admin Consoleセキュリティ(Security) > Authenticatorに移動し、パスワード(Password)行のアクション(Actions) > 編集(Edit)をクリックします。調べるルールの鉛筆アイコンをクリックします。

  • Okta Verify では、ユーザーは次を使用して復旧を開始可能(Users can initiate recovery with)(Email)セクションでは、メール(Email)オプションとPhone (SMS / Voice call)(電話(SMS /通話))オプションが選択されています
  • 追加の検証に関する設定(Additional verification is)(Any enrolled authenticator used for MFA/SSO)セクションでは、MFA/SSOに使用する任意の登録済みAuthenticator(Any enrolled authenticator used for MFA/SSO)(Additional verification is)オプションが選択されています

ユーザーがアカウント復旧を試みると、復旧を開始するためのオプションとして Okta Verify メール(Email)電話(Phone)が表示されます。ユーザーが Okta Verify を選択した場合、メールと電話は認証ではなく復旧専用に構成されているため、2番目の検証を完了できません。
  • ルールを追加(Add Rule)(Recovery authenticators)またはルールを編集(Edit Rule)(Add Rule)ダイアログの復旧Authenticator(Recovery Authenticator)(Edit Rule)セクションで、復旧の開始が許可されるようにメールと電話を有効にします。

  • 電話、メール、Okta Verifyで復旧を開始できるようにし、MFA/SSOに使用される登録済みのAuthenticatorを使った追加の検証を求めるには:

    次のAuthenticatorを有効化し、Authenticator登録に必須(Required)として設定します。

    • WebAuthn

    • Google Authenticator

  • パスワードのリセットまたはアカウントのロック解除向けのメールと電話は無効化できます。
  • 追加の検証手順としてセキュリティ質問を有効化できます。
  • LDAPをソースとするOktaユーザーアカウントのロック解除オプションを選択した場合、ユーザーアカウントはOktaではロック解除されますが、オンプレミスLDAPインスタンスではロックされたままとなります。
  • メール以外のAuthenticatorを少なくとも2つ必須(Required)に設定します。
  • 日常的な認証に選択したAuthenticatorを復旧に使用しないでください。
  • セルフサービスによるパスワードリセットのシナリオでは、プッシュによるOkta Verifyを唯一のAuthenticatorとして選択し、復旧のためにユーザー列挙防止を有効にした場合、その設定をオフにしても、ユーザーは引き続き番号一致チャレンジを受け取ります。

関連項目

パスワードAuthenticatorの構成

Okta VerifyAuthenticatorを構成します。

メールAuthenticatorの構成

電話Authenticatorの構成