Okta Verifyを構成する

多要素ポリシーを使用すると、組織レベルまたはグループ・レベルでOkta Verify要素を有効にできます。

組織レベルでOkta Verifyを有効化

  1. 管理コンソールにサインインします。
  2. [セキュリティー] > [多要素]に移動します。Okta Verifyはデフォルトで選択されています。
  3. ステータスを[アクティブ]に設定します。
  4. 管理コンソールのOkta Verifyページの画面キャプチャ

  5. [Okta Verifyの設定]で、有効にする機能を選択します。機能リストは組織で使用可能な設定によって異なることに注意してください。
  6. [保存]をクリックして設定を続行します。

プッシュ認証を有効化

プッシュ通知を使用すると、コードを入力しなくても、モバイル・デバイスを1回タップするだけで本人確認を行うことができます。同じ高レベルのセキュリティーを維持しながら、アプリに簡単にアクセスできます。この機能はiPhone、Android、Windowsデバイスで利用できます。

Okta Verify Multifactor Authentication(MFA)の使用に関する詳細は、「多要素認証」をご覧ください。

Okta Verifyのプッシュ認証を有効にし(「 」を参照)、適切なポリシーを設定したら、エンド・ユーザーが次回Oktaにサインインしたときに、アカウントでプッシュ認証を設定するように促すプロンプトが表示されます。デバイスのUIが構成プロセスを案内します。有効化後のエンド・ユーザー・エクスペリエンスの詳細については、「Okta Verify(エンド・ユーザー向けドキュメント)」をご覧ください。

:何らかの理由で既存のOktaサブドメインの名前を変更する必要がある場合、セキュリティーの都合上、アクティブなエンド・ユーザーのOkta Verifyへの登録をリセットする必要があります。サブドメインの名前変更の詳細については、「Oktaサブドメイン名の変更」を参照してください。

Okta Verify with Pushへのアップグレード

Okta Verifyのプッシュ認証をサポートするバージョンへのアップグレードをユーザーに促す場合、まずその機能を有効にします。プッシュ認証を有効にすると、次回ユーザーがOkta Verifyを使用する際に、[プロファイルを更新してください]というメッセージが表示されます。ボタンを押してすぐにアップグレードすることも、[後で通知]をクリックしてアップグレードせずに続行することもできます。後で通知を選択した場合は、次回サインインしたときに再度プロンプトが表示されます。

注

プッシュ通知はiPod Touchデバイスでは使用できません。

Okta Verify with Pushによる番号チャレンジを有効化

番号チャレンジを有効にすると、モバイル・デバイス・ユーザーが、未承認のユーザーから送信された不正なプッシュ通知を受け入れることを回避できます。

注

番号チャレンジは、Okta Verify with Pushに登録しているAndroid、iOS、およびApple Watchのユーザーが使用できます。

仕組み

ユーザーに対して番号チャレンジを提示するように機能を設定した場合:

  1. Okta Verify with Pushに登録されているAndroidまたはiOSユーザーは、保護されたリソースにアクセスしようとします。
  2. Okta Verifyに[確認]ボタンが表示され、ユーザーはサインインの試行に関する詳細を確認できます。
  3. ユーザーは[はい、私です]をタップしてから、サインイン手順に示されている番号と一致する番号を選択することで、サインインの試行を検証できます。検証は、番号が一致する場合にのみ成功します。これにより、許可されていないユーザーではなく、当該のユーザーによってサインインの試行が開始されたことが保証されます。オプションで、[いいえ、私ではありません]をタップするとサインインの試行を拒否できます。

エンド・ユーザー・エクスペリエンスの詳細については、次のエンド・ユーザー向けドキュメントを参照してください:「Okta Verifyプッシュ通知を使用したサインイン(iOS)」 または「Okta Verifyプッシュ通知を使用したサインイン(Android)」

開始する前に

  • この機能はLDAPiおよびRADIUS環境ではサポートされていません。3桁の番号のチャレンジはOkta Verifyアプリに表示されますが、一致する番号はエンド・ユーザーのデスクトップ・ブラウザーに表示されません。この場合は、Okta Verify以外の多要素認証要素を構成します。
  • ユーザーが番号チャレンジの手順を確認できるようにします。
    • カスタマイズされたサインイン・ウィジェットを組織が使用している場合、ウィジェットのバージョンは3.3.0以降である必要があります。
    • 組織が認証APIを直接呼び出している場合は、コードを更新して、番号チャレンジAPIの応答を処理します。「応答の例(3桁の番号検証チャレンジの応答を待機)」を参照してください。

このタスクを開始する

  1. 管理コンソールで、[セキュリティー] > に移動します 多要素

  2. [要素タイプ][Okta Verify]タブをクリックします。

  3. [Okta Verifyの設定]で[編集]をクリックします。

  4. [プッシュ通知を有効にする]が選択されていることを確認します。

  5. [番号チャレンジ]セクションで、オプションを選択します。
    • [行わない]:(デフォルト設定)認証試行のリスク・レベルに関係なく、ユーザーには番号チャレンジが表示されません。
    • [高リスクのサインイン試行の場合のみ]:サインイン試行が高リスクであると評価された場合のみ、ユーザーに番号チャレンジが提示されます(「 リスク・スコアリング」を参照)。Oktaは、デバイスに関する詳細やデバイスの場所など、さまざまな要素に基づいてリスクを評価します。
    • [すべてのプッシュ・チャレンジ]:リスク・レベルに関係なく、すべてのOkta Verifyプッシュ・チャレンジでユーザーに番号チャレンジが提示されます。
  6. [保存]をクリックします。

リスク・スコアリングについて

上記の番号チャレンジ機能とOktaのリスク・スコアリング機能を組み合わせて、Okta組織へのサインインを保護するセキュリティー・レベルを上げることができます。Oktaは、デバイスに関する詳細やデバイスの場所など、さまざまな条件に基づいてリスクを評価します。リスク・スコアリングを有効にすると、Oktaへのサインインごとにリスク・レベルが割り当てられ、管理者は、サインインのリスク・レベルに基づいて異なるアクションを実行するサインオン・ポリシー・ルールを構成することができます(サインインが高リスクと見なされた場合に多要素認証のプロンプトを表示するなど)。手順については、「リスク・スコアリング」を参照してください。

Apple Touch IDを有効化

Apple Touch IDは、生体認証技術を使用してOkta Verifyを不正使用から保護します。エンド・ユーザーの指紋要求を構成できます。これは最初のMFAチャレンジの後に表示されます。ユーザーのデバイスが紛失または盗難にあった場合、誰もそのデバイスにアクセスできなくなります。この機能は現在iOSデバイスでのみ使用できます。

  1. Okta管理コンソールで、[セキュリティー] > [多要素]に移動します。Okta Verifyはデフォルトで選択されています。

  2. [Okta Verifyの設定][編集]をクリックします。

  3. [Okta VerifyにTouch IDを要求する]を選択します。

  4. [保存]をクリックします。

Touch IDが有効になっている場合、エンド・ユーザーは登録時または認証チャレンジ時にデバイスのTouch IDを構成するよう求められます。デバイスUIに表示される手順は、エンド・ユーザー向けドキュメントに記載されているように、この構成プロセスをユーザーに案内します。「AndroidデバイスのOkta Verifyで認証する」、または「iOSデバイスのOkta Verifyで認証する」を参照してください。

:Touch ID を有効にしても、Touch ID以外のデバイスで認証するエンド・ユーザーには影響しません。

エンド・ユーザーが以前にOkta Verify with Pushに登録している場合

エンド・ユーザーがすでにOkta Verify with Pushに登録しており、組織でTouch IDを有効にするだけの場合、ユーザーが設定すべきことはほとんどません。ユーザーが次回プッシュ認証するときの応答は、指紋がネイティブiOSデバイスによってキャプチャされているかどうかによって異なります。

  • エンド・ユーザーの指紋がiOSデバイスにキャプチャされていない場合、Okta Verify認証ページで[プッシュを送信]をクリックすると、デバイスのTouch ID Required画面がアクティブになります。
  • 指紋がiOSデバイスにキャプチャされて保存されている場合、Okta Verify認証ページで[プッシュを送信]をクリックすると、デバイスの[Okta Verify向けTouch ID]画面がアクティブになります。

ハードウェア格納型Android Keystoreを使用する

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

Androidのセキュリティーを向上させるには、Okta Verifyの設定で[ハードウェア格納型Android Keystoreを使用する]を有効にします。この機能を有効にすると、米国連邦政府のID、資格情報、アクセス管理(FICAM)アーキテクチャに基づく、アクセス制御されたハードウェアベースのキーを使用したセキュリティー・プロトコルの実装が可能になります。

FIPSモード暗号化を有効化

これは早期アクセス機能です。この機能を有効にするには、早期アクセス機能とベータ機能の管理で説明したように、早期アクセス機能マネージャーを使用します。

連邦情報処理標準(FIPS)は、政府機関、企業、および組織向けのコンピューター・セキュリティー・ガイドラインを確立するために米国連邦政府が開発した一連の技術要件です。

FIPS標準に基づく安全な相互運用性を確保するため、Okta Verify for mobileでは、すべてのセキュリティー操作に対してFIPS 140-2検証を使用します(このオプションが有効な場合)。OktaはFIPSの検証済みベンダーを使用しているため、FedRAMP FICAM要件も満たしています。

モバイル・デバイスのカバレッジ

  • iOS 7以降を実行しているApple iOSデバイス
  • Android 6以降を実行しているAndroidデバイス
  • Androidデバイスに関する注意事項:このオプションを有効にすると、エンド・ユーザーがデバイスでセキュアPINを構成および設定した場合にのみ、デバイスがFICAMに準拠します。

FIPSモード暗号化を有効化

  1. Okta管理コンソールで、[セキュリティー] > [多要素]に移動します。[要素タイプ]画面が表示されます。Okta Verifyがデフォルトで選択されています。
  2. [Okta Verify] > [Okta Verifyの設定][編集]をクリックします。
  3. [FIPSモード暗号化を有効化]を選択します。
  4. [保存]をクリックします。

RADIUSエージェントでOkta Verify with Pushを使用する

Okta Verify with PushをOkta RADIUSエージェントと一緒に使用するには、エージェントのバージョン2.1.5以降にアップグレードする必要があります。バージョン履歴と現在のエージェントのバージョンについては、「Okta RADIUS Server Agentのバージョン履歴」をご覧ください。前の手順では、組織レベルの更新が可能です。グループごとのレベルでOkta Verify with Pushを有効にするには、「多要素ポリシー」をご覧ください。

関連項目

管理者向けOkta Verify

エンド・ユーザー向けOkta Verify