はじめに こんにちはこんばんは、WS-Federationをこよなく愛するネクストモードのおはらふです
はじめに
皆様こんにちはこんばんは、Peopleをこよなく愛するネクストモードのおはらふです
Okta WICを使っていると様々なユーザーステータスに直面することがあります
特にADやHR系SaaS等とのディレクトリ統合を行っている場合、想定外のユーザーステータスに出会ったりもします
そんなOkta WICのユーザーステータスについてまとめてみました
合わせてどの状態だとSSOの課金対象となるかもご紹介します
キーワード
Okta、Okta WIC、SSO、ユーザーステータス
ユーザーステータスとは
Okta WICのユーザーステータスは、管理コンソールの[Directory → People]にあるStatusの値を見ることで、状態を識別できます
下記ユーザーの例だと[Suspended]となっており、一時停止中のユーザーということがわかります
ユーザーステータス一覧
もちろんOkta WICのドキュメントにもステータス一覧はあるのですが、そちらを補足する形で紹介します
Staged
Okta WICに何らかの方法でアカウントを作成し、明示的に管理側のActivationを行わないとこのステータスになります
アカウント作成と同時にActivateを行うと、ユーザーに「Oktaアカウント作成完了メール」が送られてしまうため、以下ユースケースで役立つステータスです
- アカウントの有効化は後日行うが、事前にアカウントそのものの作成は行なっておきたい
- ADやHRと連携をしユーザーインポートを行いたいが、インポートの正常性を確認したいのでActivationは同時に行いたくない
Pending user action
Okta WICにアカウントは作成されたが、ユーザーの初回ログイン処理が行われていない状態です
初回アカウント作成時にActivationを行うと、Oktaから「Oktaアカウント作成完了メール」が送られますが、そのメールにあるユーザー側のActivationのリンクから初期設定を行わないとこのステータスになります
小ネタですが、何らかの理由でメールが受信できない場合、管理者側で初回設定を代理で行うことが出来るため、検証環境等でメールが受信できない場合でもActivationの処理を進めることができます(後述)
Active
ユーザーが正常にOkta WICを利用できる状態です
この状態であれば、正常にログインの処理(パスワードやMFAなど)が行えればOktaを利用できます
Password Reset
ユーザー側で管理者側でパスワードのリセットを行うとこの状態になります
対象ユーザーにパスワードの再設定メールが送られますので、そのリンクから再設定をするとActiveに戻ります
Password Expired
パスワードの有効期限が切れた状態です
このユーザーステータスになるには2パターンあります
パスワードの再設定を行うことで、Activeに戻ります
- パスワードの有効期限を設定し、その日数が経過した
- 管理者側で一時的なパスワードを設定した(Pending user actionの小ネタ部分)
Locked Out
パスワード入力ミス等により、ポリシーで設定したログイン試行回数を超えるとアカウントのLoked Out状態となります
「何回失敗するとロックアウトされるか」、「ロックアウトの自動復旧」、「ロックアウトのユーザー側での解除」の3つをそれぞれ設定することができます
Suspended
管理者側でSuspend(アカウントの一時停止)の設定を行うとこの状態になります
Oktaに対してユーザーがログイン不可となりますが、Okta上で設定している各種アプリケーションへのアサイン状態は維持されます
クレデンシャルの漏洩やPCの紛失等、何らかの理由で一時的に使わせたくない場合に使用してください
Deactivated
管理者側でDeactivateの処理を行うとこの状態になります
全てのアプリケーションからアサインが外されるため、プロビジョニングの設定を行なっていた場合、連携したアプリケーションからもユーザーが削除されます
再度Activationも可能ですが、ユーザー再作成の処理が走るので連携先のアプリケーションの挙動に気をつけてください
Delete(ユーザーステータスからも消える)
Deactivated状態からのみ、対象アカウントを完全に削除するDeleteが可能です
ユーザーステータス一覧にも表示されなくなり、完全にアカウント情報が消えた状態になります
どの状態だとSSOの課金対象となるか
ActiveからSuspendedまでの状態だと、SSOの課金対象となる可能性があります
他要素により変動したりもするので、確実な値を知りたい場合は販売元へご確認ください
また、SSOライセンスのみのカウントとなりますので、他ライセンスについてはこの方法では確認できないです
| ラベル | 意味 |
|---|---|
| Staged | アカウント作成後、未Activeの状態。意図的にやらないとあんまり見かけないかも |
| Pending user action | アカウントは作成されたが、ユーザーの初回ログイン処理がまだの状態 |
| Active | ユーザーが正常にOktaを使える状態 |
| Password Reset | 管理者にてパスワードリセットが行われた状態 |
| Password Expired | パスワード有効期限切れ、もしくは一時的なパスワードの設定状態 |
| Locked Out | 指定したログイン試行回数を超えた場合にロックアウトされる |
| Suspended | アカウントの一時停止状態。連携アプリのアカウントには影響がない |
| Deactivated | ユーザー無効化状態。アプリのアサインも削除される |
| Delete | Deactive状態からのみ可能。ダッシュボード上からも消える |
おわりに
「何もしてないのにログインできなくなりました!」と聞かれても、落ち着いてユーザーステータスを見て対処を行ってみてください
