Duo Security(MFA)

Oktaの多要素認証(MFA)オプションとしてDuo Securityを追加できます。要素として有効にすると、Duo SecurityはMFAの記録システムとなり、Oktaは認証情報の二次検証をDuo Securityアカウントに委任します。

既存の登録を使用してDuo Securityを展開している場合、Duo Securityのユーザー名がOktaのユーザー名またはOktaユーザーのメールアドレスと一致していることを確認してください。エンドユーザーがOktaにサインインするか、Oktaで保護されたリソースにアクセスすると、OktaはユーザーのOktaユーザー名またはメールアドレスに従ってDuo Securityアカウントでユーザーを検索します。このトピックで説明するように、ユーザー名のマッピングは変更できます。

既存のDuo Securityに登録されていないエンドユーザーは、サインイン時またはDuo Securityアカウントページから自己登録できます。Duo SecurityでのOkta統合設定に応じて、エンドユーザーはスマートフォン、タブレット、電話、Touch ID、セキュリティキーで登録できます。

開始する前に

Duo Securityで、Duo SecurityアカウントをOktaと統合します。統合により次の値が生成されます。これらは後でOkta 管理コンソールに入力します。

  • 統合キー

  • 秘密鍵

  • APIホスト名

Duo Securityを要素として追加する

  1. 管理コンソールで、[Security(セキュリティ)] > [Multifactor(多要素)]に移動します。
  2. [Factor Types(要素タイプ)]で、[Duo Security]をクリックします。
  3. [Duo Security Settings(Duo Security設定)]の横の[Edit(編集)]をクリックします。
  4. Oktaとの統合時にDuo Securityで生成した値を入力します。
    • 統合キー
    • 秘密鍵
    • APIホスト名
  5. [Duo Security Username Format(Duo Securityユーザー名の形式)]を選択します。
    • Oktaユーザー名
    • メール
  6. [Save(保存)]をクリックします。
  7. 右上の[Inactive(非アクティブ)]をクリックして[Activate(アクティベート)]を選択します。

エンドユーザーエクスペリエンス

エンドユーザーエクスペリエンスは、ユーザーがOktaの要素として構成される前に既にDuo Securityに登録されているかどうかによって異なります。

Duo Securityの新規登録

  1. Duo SecurityOktaの要素として構成すると、エンドユーザーがOktaにサインインしたりOktaで保護されたアプリにアクセスしようとすると、Duo Securityに自己登録するよう促されます。
  2. エンドユーザーは、[Set up(セットアップ)]をクリックすると、追加するデバイスのタイプを選択するよう求められます。一般的に選択される2つのデバイスタイプのユーザーエクスペリエンスは次のとおりです。
    • [Mobile phone(携帯電話)]:ユーザーは、電話番号を入力し、国とデバイスタイプ(AndroidまたはiOSなど)を選択するよう求められます。ユーザーは、テキスト・メッセージまたは電話を受信して、電話番号の所有権を証明するよう求められる場合もあります。次にユーザーは、Duo Mobileをインストールするか、すでにインストールされていることを示すよう求められます。最後にユーザーは、QRコードをスキャンするか、または[Email me an activation link instead(代わりにアクティベーションリンクをメールで送信)]オプションをクリックして、登録をアクティベートするよう求められます。
    • [Touch ID]: ユーザーは画面の指示に従いTouch IDを登録します。フロー中に、ユーザーは指紋をスキャンするよう求められます。Oktaアプリのサインオン ポリシーによっては、ユーザーは秘密の質問など追加要素をセットアップするよう要求される場合もあります。

    自己登録時にデバイスを選択した後で、Duo Mobileの設定に[Add a new device(新しいデバイスを追加)]というオプションが表示されていれば、エンドユーザーはデバイスを追加できます。このオプションを有効にするには、Duo管理者がDuo管理パネルで[Self-service portal(セルフサービスポータル)]を選択する必要があります。

既存のDuo Securityの登録

  1. OktaDuo Securityを要素として構成した後、エンドユーザーがOktaにサインインするかOktaで保護されたアプリにアクセスすると、Duo Securityを要素として使用して本人確認を行うオプションが表示されます。

  2. エンドユーザーがDuo Securityオプションを選択します。

  3. Duo Securityのデプロイメントでのアプリのサインオンポリシーまたは設定によっては、サインイン時にエンドユーザーに追加の検証が求められる場合があります。エンド・ユーザーは、デバイスが対応している認証タイプを選択してIDを検証します。

Duo Mobileアプリのエンドユーザーの設定

Duo Securityに登録する、またはDuo Securityで認証する際、エンドユーザーはDuo Mobileアプリの[Settings(設定)]メニューにアクセスして次のオプションを選択できます。

  • [Manage Settings & Devices(設定とデバイスの管理)]Duo Securityのドキュメントを参照してください。

  • Duo管理者がDuo管理パネルで[セルフサービス・ポータル]オプションを選択した場合、[新しいデバイスを追加]が表示されます。Duoのドキュメントを参照してください。

重要な考慮事項

  • Oktaは、Duo Securityアカウントが無効ステータスまたはロックアウトステータスのエンドユーザー(Okta管理者を含む)に対して、アクセスを拒否します。Oktaアプリのサインオンポリシーによっては、これらのエンドユーザーが別の要素を使用してOktaで保護されたリソースにサインインできない場合があります。また、OktaサポートはユーザーのDuo Securityデバイスをリセットできません。Duo Securityアカウントのステータスをリセットできるのは、Duo Security管理者のみです。ベストプラクティスとして、複数のDuo Security管理者を設定し、Okta管理者が複数の登録済みデバイスを持つことをお勧めします。
  • エンドユーザーのOktaプロファイルで要素をリセットしても、Duo Securityのアカウントはリセットされません。同様に、ユーザーがOktaの[End-User Settings(エンドユーザー設定)ページで[Extra Verification(追加認証)]からDuo Securityを削除しても、登録はDuo Securityに残ります。この場合、エンドユーザーが別のDuo Security認証方法で登録できるようにするには、Duo Security管理パネルで登録を削除します。そうしないと、エンドユーザーにはOktaで要素がリセットまたは削除される前に使用していたものと同じ方法で、プロンプトが表示され続けます。
  • ユーザーがWindowsデバイスを使用している場合、Duo SecurityアプリのTouch IDオプションはグレー表示されます。
  • プッシュ/SMS/電話を使用したDuo Securityは、RADIUSを用いたAmazon Workspaceではサポートされません。Duo Security MFAを使用してOktaに登録済みのエンドユーザーが、RADIUSで構成されたAmazon Workspaceにアクセスする場合は、プライマリパスワードのほかにDuo Securityモバイルアプリに表示される6桁のMFAパスコードを入力する必要があります。
  • RDP向けのMFAでは、Duo要素はサポートされません。