Okta - Directory - People

はじめに

今回の記事ではPeopleの中でも以下について記載していきます。

• ユーザーの作成
• パスワードのリセット
• MFAのリセット
• その他の More Actions

ユーザー作成

• Add person から手動でユーザーを作成することができます。
  • 
• 入力する項目としては以下の通り
  • 
    • First name
    • Last name
    • Username
    • Primary email
    • Activation
      • Activate now
        • 選択した場合、Saveすぐにユーザーが有効化されます。
      • Activate Later
        • 選択した場合、あとからまとめてユーザーを有効化することができます。
      • I will set Password
        • チェックを入れた場合、管理者側で初期パスワードを設定することができます。
        • チェックを入れない場合、PW設定用リンクをユーザーに送信するなど別途対応が必要になります。
      • User must change password on first login
        • チェックを入れた場合、ユーザーが初回ログインした際、強制的にパスワードの変更画面を表示し、新しいパスワードを設定させることができます。
        • 管理者側でパスワードを設定するのであれば、セットでチェックを入れるべきかと思います。

パスワードのリセット

• Oktaが社内のパスワードのマスタになっているのであれば、Oktaでパスワードをリセットするのが妥当です。
• Oktaではパスワードのリセットは以下の2通りの入り口があります。
  1. People > Reset Password から実施
  2. ユーザーを検索 > 対象を選択 > Reset or Remove passsword から実施
     • 検索したユーザーのPWのみリセットできる確実な方法なので、個人的にはこちらの方法をお勧めします。
     • この場合は↓のようなボタンがあります。
     • 
• 2の Reset or Remove password を実施すると以下のような画面となります。
  • 

    • Send reset password email

      • ユーザーにパスワードリセットのリンク付きメールを送信します。
      • 注意事項
        • 当たり前ですがメールサービスをOktaのSAML認証にしている場合は注意が必要です。
        • メールを見るためにOktaにログインする必要があるが、そもそもOktaのパスワードが分からないからリセットしている。というループに陥ります。
        • そのような環境であれば、次のCreate a temporary passwordが妥当でしょう。

    • Create a temporary password

      • 一時的なパスワードを発行します。
        • 
      • この時発行される一時パスワードはOktaでランダムに生成されるため、管理者で指定することはできません。
        • パスワードを指定して初期化したい場合は、APIを利用して上書き＆期限切れにするとよいです。

    • Sign out user

      • 通常の運用において利用者がパスワードを忘れただけであれば特に必要はないと思います。
      • セキュリティ的な懸念があるときにチェックを入れて実行するくらいで良いと思います。

MFAのリセット

• 特定ユーザの画面から More Actions > Reset Authenticators を選択することでMFAのリセットが可能です。
  • 
• ↓の画像では1つしかありませんが、複数登録されている場合はチェックボックスで指定して特定の設定のみリセットすることが可能です。
  • 
• リセット後、ユーザーは次にMFAを求められる際、まず設定画面が表示されます。

その他の More Actions

• Clear User Sessions
  • 現在のユーザーのセッションを削除することができます。
  • ユーザーは再度認証しなければならなくなります。
• Reset Behavior Profile
  • ユーザーが過去にOktaに接続した際のデバイス情報やロケーション情報などを初期化します。
  • サインオン関連のポリシーでRiskに応じた設定をしている場合、初めてログインする時と同じ状態で判定されるようになります。
• Suspend
  • ユーザーのステータスをSuspend(保留)にします。
  • 確かログインもできなくなるはず。
• Deactivate
  • ユーザーのステータスをDeactivated(無効)にします。
  • ログインできなくなります。
  • アプリのプロビジョニング設定でDeactivated Usersを有効にしている場合、アプリ側のユーザーも無効化されるため気をつけましょう。
• Delete
  • ユーザーのステータスがDeactivatedの場合、削除することができます。
• Activate
  • ユーザーのステータスがSuspened/Deactivatedの場合、再度有効化することができます。

さいごに

ユーザーの状態変更やパスワード設定などはAPI経由でもできるので、数が多くて大変などあればAPIを使って自動化するのも楽しいかもしれません。
今回はここまで。ありがとうございました。