Oktaの多要素認証(MFA)オプションとしてDuo Securityを追加できます。として有効にすると、Duo SecurityがMFAのレコードのシステムとなり、Oktaは認証情報の二次検証をDuo Securityアカウントに委任します。

既存の登録を使用してDuo Securityを展開している場合、Duo Securityのユーザー名がOktaのユーザー名またはOktaユーザーのメール・アドレスと一致していることを確認してください。エンド・ユーザーがOktaにサインインするか、Oktaで保護されたリソースにアクセスすると、OktaはユーザーのOktaユーザー名またはメール・アドレスに従ってDuo Securityアカウントでユーザーを検索します。このトピックで説明するように、ユーザー名のマッピングは変更できます。

既存のDuo Securityに登録されていないエンド・ユーザーは、サインイン時またはDuo Securityアカウント・ページから自己登録できます。Duo SecurityでのOkta統合設定に応じて、エンド・ユーザーはスマートフォン、タブレット、電話、Touch ID、セキュリティー・キーで登録できます。

開始する前に

Duo Securityで、Duo SecurityアカウントをOktaと統合します。統合により次の値が生成されます。これらは後でOkta管理コンソールに入力します。

  • 統合キー

  • 秘密キー

  • APIホスト名

Duo Securityをとして追加する

エンド・ユーザー・エクスペリエンス

エンド・ユーザー・エクスペリエンスは、OktaでDuo Securityをとして構成する前にユーザーがすでにDuo Securityに登録されているかどうかによって異なります。

Duo Securityの新規登録

  1. OktaでDuo Securityをとして構成した後は、Oktaにサインインしているエンド・ユーザー、またはOktaで保護されたアプリにアクセスしているエンド・ユーザーは、Duoでの自己登録がガイドされます。
  2. エンド・ユーザーは、[セットアップ]をクリックすると、追加するデバイスのタイプを選択するよう求められます。一般的に選択される2つのデバイス・タイプのユーザー・エクスペリエンスは次のとおりです。
    • [携帯電話]:ユーザーは、電話番号を入力し、国とデバイス・タイプ(AndroidまたはiOSなど)を選択するよう求められます。ユーザーは、テキスト・メッセージまたは電話を受信して、電話番号の所有権を証明するよう求められる場合もあります。次にユーザーは、Duo Mobileをインストールするか、すでにインストールされていることを示すよう求められます。最後にユーザーは、QRコードをスキャンするか、[代わりにアクティベーション・リンクをメールで送信]オプションをクリックして、登録をアクティブ化するよう求められます。
    • [Touch ID]: ユーザーは画面の指示に従いTouch IDを登録します。フロー中に、ユーザーは指紋をスキャンするよう求められます。Oktaアプリのサインオン・ポリシーによっては、セキュリティー質問など、別のをセットアップするように求められる場合もあります。
    注

    自己登録時にデバイスを選択した後で、Duo Mobileの設定に[新しいデバイスを追加]というオプションが表示されていれば、エンド・ユーザーはデバイスを追加できます。このオプションを有効にするには、Duo管理者がDuo管理パネルで[セルフサービス・ポータル]を選択する必要があります。

既存のDuo Securityの登録

  1. OktaでDuo Securityをとして構成した後、Oktaにサインインしているエンド・ユーザー、またはOktaで保護されたアプリにアクセスしているエンド・ユーザーには、Duo Securityをとして使用してIDを検証するオプションが表示されます。

  2. エンド・ユーザーがDuo Securityオプションを選択します。

  3. Duo Securityの展開でのアプリのサインオン・ポリシーまたは設定によっては、サインイン時にエンド・ユーザーに追加の検証が求められる場合があります。エンド・ユーザーは、デバイスが対応している認証タイプを選択してIDを検証します。

Duo Mobileアプリのエンド・ユーザーの設定

Duo Securityに登録する、またはDuo Securityで認証する際、エンド・ユーザーはDuo Mobileアプリの[設定]メニューにアクセスして次のオプションを選択できます。

  • [設定&とデバイスの管理]Duo Securityのドキュメントを参照してください。

  • Duo管理者がDuo管理パネルで[セルフサービス・ポータル]オプションを選択した場合、[新しいデバイスを追加]が表示されます。Duoのドキュメントを参照してください。

重要な考慮事項

  • Oktaは、Duo Securityアカウントが無効ステータスまたはロックアウト・ステータスのエンド・ユーザー(Okta管理者を含む)へのアクセスを拒否します。Oktaアプリのサインオン・ポリシーによっては、これらのエンド・ユーザーは別のを使用してOktaで保護されたリソースにサインインできない場合があります。また、OktaサポートはユーザーのDuo Securityデバイスをリセットできません。Duo Securityアカウントのステータスをリセットできるのは、Duo Security管理者のみです。ベスト・プラクティスとして、Duo Security管理者が複数存在し、Okta管理者が複数のデバイスを登録していることを確認します。

  • エンド・ユーザーのOktaプロファイルでをリセットしても、Duo Securityのアカウントはリセットされません。同様に、ユーザーがOktaの[エンド・ユーザー設定]ページで追加認証からDuo Securityを削除しても、登録はDuo Securityに残ります。この場合、エンド・ユーザーが別のDuo Security認証方法で登録できるようにするには、Duo Security管理パネルで登録を削除します。それ以外の場合は、Oktaでがリセットまたは削除される前に使用していたのと同じ方法で、引き続きエンド・ユーザーにメッセージが表示されます。

  • ユーザーがWindowsデバイスを使用している場合、Duo SecurityアプリのTouch IDオプションはグレー表示されます。