Duo Security (MFA)

Duo Securityを多要素認証(MFA)オプションとしてOktaに追加できます。要素として有効にすると、Duo SecurityはMFAの記録システムとなり、Oktaは認証情報の二次検証をDuo Securityアカウントに委任します。

既存の登録情報でDuo Securityをデプロイしている場合、Duo Securityのユーザー名がOktaユーザーのユーザー名またはメールアドレスと一致しているか確認してください。エンドユーザーがOktaにサインインするかOktaで保護されたリソースにアクセスすると、OktaはそのユーザーのOktaユーザー名またはメールアドレスに従ってDuo Securityアカウントでユーザーを検索します。ユーザー名のマッピングは、このトピックで示す手順に従って変更できます。

既存のDuo Securityに登録していないエンドユーザーは、サインイン時またはDuo Securityアカウントページを介して自己登録できます。Duo SecurityでのOkta統合設定に応じて、エンドユーザーはスマートフォン、タブレット、電話、Touch ID、およびセキュリティ キーを使用して登録できます。

はじめに

Duo Securityで、Duo SecurityアカウントとOktaを統合します。統合すると、後ほどOkta管理者コンソールで入力する以下の値が生成されます。

  • 統合キー

  • 秘密鍵

  • APIホスト名

Duo Securityを要素として追加する

  1. 管理コンソールで、[セキュリティー] > に移動します [Multifactor(多要素)]に進みます。

  2. [Factor Types(要素タイプ)]で、[Duo Security]をクリックします。

  3. [Settings(設定)]に、Oktaと統合した際に Duo Securityで生成された値を入力します。

    • 統合キー

    • 秘密鍵

    • APIホスト名

  4. [Duo Security Username Format(Duo Securityユーザー名の形式)]を選択します。

    • Oktaユーザー名

    • Eメール

    • SAMアカウント名

  5. [Save(保存)]をクリックします。

  6. 右上の[Inactive(非アクティブ)]をクリックして[Activate(アクティベート)]を選択します。

エンドユーザー エクスペリエンス

エンドユーザー エクスペリエンスは、ユーザーがOktaの要素として構成される前に既にDuo Securityに登録されているかどうかによって異なります。

Duo Securityへの新規登録

  1. Duo SecurityをOktaの要素として構成すると、エンドユーザーがOktaにサインインしたりOktaで保護されたアプリにアクセスしようとすると、Duoに自己登録するよう促されます。
  2. エンドユーザーが[Set up(セットアップ)]をクリックすると、追加するデバイス のタイプを選択するよう求めるプロンプトが表示されます。最もよく選択される2タイプのデバイスに対するユーザー エクスペリエンスを以下に示します。
    • モバイル電話:電話番号の入力と、国/地域およびデバイスのタイプ(AndroidまたはiOSなど)を選択するプロンプトが表示されます。電話番号の所有権を確認するため、ユーザーはテキストまたは電話のどちらを受信するか選択するプロンプトが表示されます。その後、ユーザーにDuo Mobileのをインストールするよう求めるか、既にインストール済みであることを伝えるプロンプトが表示されます。最後に、QR コードをスキャンするか、または[Email me an activation link instead(アクティベーション リンクをメールで送る)]をクリックして、登録をアクティベートするよう求めるプロンプトがユーザーに表示されます。
    • Touch ID:ユーザーは画面に表示されたプロンプトに従い、Touch IDで登録を行います。フロー中、ユーザーに指紋をスキャンするよう求めるプロンプトが表示されます。Oktaアプリのサインオン ポリシーによっては、ユーザーはセキュリティの質問など追加要素をセットアップするよう要求される場合もあります。
    注

    自己登録でデバイスを選択した後、Duo Mobile設定で[Add a new device(新しいデバイスの追加)]オプションが表示されればエンドユーザーはデバイスを追加できます。このオプションを有効にするには、Duo管理者はDuo管理者パネルでセルフサービス ポータルを選択する必要があります。

既存のDuo Securityへの登録

  1. OktaでDuo Securityを要素として構成した後、エンドユーザーがOktaにサインインするかOktaで保護されたアプリにアクセスすると、Duo Securityを要素として使用して本人確認を行うオプションが表示されます。

  2. エンドユーザーはDuo Securityオプションを選択します。

  3. サインイン中、アプリのサインイン ポリシーまたはDuo Securityデプロイメントの設定に応じてエンドユーザーに追加確認を要求するプロンプトが表示されます。エンドユーザーはデバイスでサポートされる認証タイプを選択することで、本人の確認をします。

Duo Mobileアプリでのエンドユーザー設定

登録中またはDuo Securityでの認証中、エンドユーザーはDuo Mobileアプリの[Settings(設定)]メニューにアクセスして以下のオプションを設定できます。

  • 設定および&デバイスの管理Duo Security資料をご覧ください。

  • Duo管理者がDuo管理者パネルで[セルフサービス ポータル]オプションを選択すると、[Add a new device(新規デバイスの追加)]が表示されます。Duo Security資料をご覧ください。

重要な考慮事項

  • OktaはDuo Securityアカウントが無効化またはロックアウト状態となっているエンドユーザー(Okta管理者を含む)に対して、アクセスを拒否します 。Oktaアプリのサインオン ポリシーによっては、これらのエンドユーザーが別の要素を使用してOktaで保護されたリソースにサインインできない場合があります。その場合、OktaサポートはユーザーのDuo Securityデバイスをリセットできません。Duo SecurityアカウントのステータスをリセットできるのはDuo Security管理者のみです。ベストプラクティスとして、複数のDuo Security管理者を設定し、Okta管理者が複数の登録デバイスを持つことを勧めます。

  • エンドユーザーのOktaプロファイルで要素をリセットしても、Duo Securityのアカウントはリセットされません。同様に、ユーザーがOktaのエンドユーザー設定ページでExtra Verification(追加検証)からDuo Securityを削除しても、登録情報はDuo Securityに残ります。この場合、エンドユーザーが別のDuo Security認証方法で登録できるようにするには、Duo Security管理者パネルで登録情報を削除します。そうしないと、エンドユーザーにはOktaで要素がリセットまたは削除される前に使用していたものと同じ方法で、プロンプトが表示され続けます。

  • ユーザーがWindowsデバイスを使用している場合、Duo SecurityアプリのTouch IDオプションはグレー表示されます。

  • プッシュ/SMS/電話を使用したDuo Securityは、RADIUSを用いたAmazon Workspaceではサポートされません。Duo Security MFAを使用してOktaに登録済みのエンドユーザーが、RADIUSで構成されたAmazon Workspaceにアクセスする場合は、プライマリ パスワードのほかにDuo Securityモバイルアプリに表示される6桁のMFAパスコードを入力する必要があります。