Okta Verifyの構成
Okta Verifyを構成することで、ユーザーにどの方法で認証させるか(プッシュ通知の承認、または番号の照合)を指定できます。多要素ポリシーを使用すると、OrgレベルまたはグループレベルでOkta Verifyを有効にできます。
Okta Verifyは、複数のオペレーティング システムでサポートされています。詳細については、「Okta Verifyでサポートされているプラットフォーム」を参照してください。
- Admin Consoleで、[セキュリティ]>[Multifactor(多要素)]に移動します。
- [Factor Types(要素タイプ)]タブで[Okta Verify]を選択します。
- ステータスを[Active(アクティブ)]に設定します。
- [Okta Verify Settings(Okta Verify設定)]で[編集]をクリックし、有効にする機能を選択します。使用可能な機能はOrgの設定によって異なります。
- [Enable Push Notification(プッシュ通知を有効にする)]:プッシュ通知を使用すると、OktaはユーザーのモバイルデバイスにインストールされたOkta Verifyアプリにプロンプトを送信します。ユーザーは、モバイルデバイスに送信されたプロンプトをタップして本人確認を行います。この機能は、iPhone、Android、Windowsの各モバイルデバイスで利用できますが、iPod Touchデバイスでは利用できません。詳細については、「プッシュ通知」を参照してください。
- [Require or Touch ID or Face ID for Okta Verify (only on iOS)(Okta VerifyにTouch IDまたはFace IDを要求する(iOSのみ))]:iOSデバイスのユーザーは、デバイスのTouch IDまたはFace ID機能を使用してOkta Verifyの本人確認を行います。「Apple Touch IDとFace IDについて」を参照してください。
- [Enable FIPS-Mode Encryption(FIPSモードの暗号化を有効にする)]:FIPSモードの暗号化を適用して、Okta Verifyデータの保護を強化します。「FIPSモードの暗号化について」を参照してください。
- 番号チャレンジ:番号チャレンジを有効にすると、モバイルデバイスユーザーが不正なプッシュ通知を受け入れることを回避できます。Okta Verifyが番号チャレンジを表示するようにする場合は、それらを構成します:Never(使用しない)、Always(常に)またはHigh risk sign-in attemps only(リスクの高いサインイン試行のみ)。
- Androidデバイス用のハードウェアキーストレージを使用する:
これは早期アクセス機能です。有効にするには、Oktaサポートにお問い合わせください。
Androidデバイスのセキュリティを強化するには、この設定を有効にします。これにより、Androidデバイスに保存されているキーにアクセスコントロールとハードウェア保護を適用する、米国連邦政府のID、資格情報、アクセス管理(FICAM)セキュリティアーキテクチャーを実装できます。
- [保存]をクリックします。
エンドユーザーエクスペリエンス
プッシュ通知
OrgでOkta Verify with Push Notificationを有効にしたら、エンドユーザーが次回Oktaにサインインしたときに、アカウントでプッシュ通知を設定するように促すプロンプトが表示されます。Okta Verifyアプリで構成プロセスが案内されます。
ユーザーはボタンを押すことで即時アップグレードするか、[後で通知]をクリックして、アップグレードせずに続行することができます。後で通知を選択した場合は、次回サインインしたときにプロンプトが表示されます。
エンドユーザー・エクスペリエンスの詳細については、「Okta Verify(エンドユーザー向けドキュメント)」をご覧ください。
Okta Verifyのエンドユーザー登録がOktaサブドメインに関連付けられていることを確認します。Oktaサブドメインの名前を変更する必要がある場合は、すべてのアクティブなエンドユーザーのOkta Verify登録もリセットする必要があります。「Oktaサブドメイン名の変更」を参照してください。
プッシュ通知と番号チャレンジ
番号チャレンジを有効にすると、モバイルデバイスユーザーが不正なプッシュ通知を受け入れることを回避できます。番号チャレンジはAndroid、iOS、Apple Watchデバイスで動作しますが、プッシュ通知が有効になっているOrgのOkta Verifyに登録されている必要があります。
番号チャレンジでプッシュ通知を有効にした場合、ユーザーはOkta Verifyで[Yes, It's Me(はい、私です)]をタップすることでサインイン試行を検証できます。その後、デバイスに3つの数字が表示されます。ユーザーは、ブラウザーに表示されているのと同じ番号をタップする必要があります。正しい番号をタップした場合のみ、サインインできます。[No, It's Not Me(いいえ、試行していません)]をタップすると、サインインの試行はブロックされ、サインインできません。
この機能は、LDAPiとRADIUSの環境ではサポートされていません。Okta Verifyは番号一致チャレンジをスキップします。これらの環境では、Okta Verifyではなく別のMFA要素を構成してください。
前提条件
- Orgがバージョン番号3.3.0以降のカスタマイズされたサインインウィジェットを使用していることを確認します。
- Orgが認証APIを直接呼び出している場合は、コードを更新して、番号チャレンジAPIの応答を処理します。「応答の例(3桁の番号検証チャレンジの応答を待機)」を参照してください。
次のエンドユーザー向けドキュメントを参照してください:「Okta Verify Push通知を使用したサインイン(iOS)」または「Okta Verify Push通知を使用したサインイン(Android)」。
番号チャレンジとリスクスコアリングについて
番号チャレンジ機能とリスクスコアリングを組み合わせて、Okta orgのセキュリティレベルを強化し、不正なサインイン試行を防ぐことができます。
リスクスコアリングが有効になっている場合、Oktaはデバイスの詳細やロケーションなどの基準に基づいてリスクを評価し、Oktaへのサインインの試行ごとにリスクレベルを割り当てます。管理者はサインオン・ポリシー・ルールをカスタマイズし、割り当てられたリスク・レベルに基づいてさまざまな方法で応答できます。たとえば、サインインの試行が高リスクであると考えられる場合に、ユーザーに多要素認証を要求するようにOktaを設定できます。手順については、「リスクスコアリング」を参照してください。
Okta Verify with PushおよびRADIUS agentの使用
Okta Verify with PushとOkta RADIUS agentを使用するには、Okta RADIUS agentをバージョン2.1.5以降にアップグレードする必要があります。現在のエージェントバージョンを確認する手順については、「Okta RADIUS Serverエージェントのバージョン履歴」を参照してください。
Apple Touch IDとFace IDについて
Apple Touch IDおよびFace IDでは、生体認証技術を使用してOkta Verifyを不正使用から保護します。エンドユーザーの指紋または顔認識要求を構成できます。これは最初のMFAチャレンジの後に表示されます。したがってユーザーのデバイスが紛失したり、盗難にあっても本人以外の誰もデバイスにアクセスできなくなります。この機能は現在、iOSデバイスでのみご利用いただけます。
Touch IDとFace IDを有効にすると、エンドユーザーは登録時または認証を求められたときに、デバイスのTouch IDまたはFace IDを設定するように要求されます。デバイスに、この構成プロセスの手順が表示されます(エンドユーザー向けドキュメントを参照)。「Androidデバイス上のOkta Verifyによる認証」または「iOSデバイス上のOkta Verifyによる認証」を参照してください。
エンドユーザーがすでにOkta Verify with Pushに登録しており、OrgでTouch IDおよびFace IDを有効にするだけの場合、設定は最小限で済みます。ユーザーが次回プッシュ認証するときの応答は、指紋または顔の画像がネイティブiOSデバイスによってキャプチャされているかどうかによって異なります。
- エンドユーザーの指紋または顔の画像がiOSデバイスにキャプチャされていない場合、Okta Verifyの認証ページで[Send Push(プッシュを送信)]をクリックすると、デバイスの[Touch ID Required(Touch IDが必要)]または[Face ID Required(Face IDが必要)] 画面がアクティブになります。
- 指紋または顔の画像がiOSデバイスにキャプチャされて保存されている場合、Okta Verify の認証ページで[Send Push(プッシュを送信)]をクリックすると、デバイスの[ Touch ID for Okta Verify(Okta Verify向けTouch ID)]または[Face ID for Okta Verify (Okta Verify向けFace ID)]画面がアクティブになります。
Touch IDまたはFace ID の有効化による影響を受けるのは、Touch IDまたはFace ID機能が搭載されたデバイスで認証を行うエンドユーザーのみです。
FIPSモードの暗号化について
連邦情報処理標準(FIPS)は、政府機関、企業、およびOrganization 向けのコンピューター・セキュリティ・ガイドラインを確立するために米国政府が開発した一連の技術要件です。
FIPSモードの暗号化を有効にする際、Okta Verifyでは、すべてのセキュリティ操作に対してFIPS 140-2検証を使用し、安全な相互運用性を確保しています。
また、OktaはFIPSの検証済みベンダーを使用しているため、FedRAMP FICAM要件も満たしています。
モバイル・デバイスのカバレッジ
- iOS 7以降を実行するApple iOSデバイス
- Android 6以降を実行するAndroidデバイス
このオプションを有効にすると、エンドユーザーがデバイスでセキュアPINを構成および設定した場合にのみ、AndroidデバイスがFICAMに準拠するようになります。