Duo Security(MFA)
Oktaの多要素認証(MFA)オプションとしてDuo Securityを追加できます。要素として有効にすると、Duo SecurityはMFAの記録システムとなり、Oktaは資格情報の二次検証をDuo Securityアカウントに委任します。
既存の登録を使用してDuo Securityを展開している場合、Duo Securityのユーザー名がOktaのユーザー名またはOktaユーザーのメールアドレスと一致していることを確認してください。エンドユーザーがOktaにサインインするか、Oktaで保護されたリソースにアクセスすると、OktaはユーザーのOktaユーザー名またはメールアドレスに従ってDuo Securityアカウントでユーザーを検索します。このトピックで説明するように、ユーザー名のマッピングは変更できます。
既存のDuo Securityに登録されていないユーザーは、Oktaへのサインイン時、またはDuo Securityアカウントページから自己登録できます。Duo SecurityでのOkta統合設定に応じて、エンドユーザーはスマートフォン、タブレット、電話、Touch ID、セキュリティキーで登録できます。
はじめに
Duo Securityで、Duo SecurityアカウントとOktaを統合します。統合により、次の値が生成されます。
- 統合キー
- 秘密鍵
- APIホスト名
これらの値を記録し、Duo Securityを要因として追加するときのために保存しておきます。
Duo Securityを要素として追加する
-
Admin Consoleで、 に移動します。
- [Factor Types(要素タイプ)]で、[Duo Security]をクリックします。
- [Duo Security Settings(Duo Security設定)]の横の[Edit(編集)]をクリックします。
- Oktaとの統合時にDuo Securityで生成した値を入力します。
- 統合キー
- 秘密鍵
- APIホスト名
- [Duo Security Username Format(Duo Securityユーザー名の形式)]を選択します。
- Oktaユーザー名
- メール
- [Save(保存)]をクリックします。
- 右上の[Inactive(非アクティブ)]をクリックして[Activate(アクティベート)]を選択します。
エンドユーザーエクスペリエンス
エンドユーザーエクスペリエンスは、ユーザーがOktaの要素として構成される前に既にDuo Securityに登録されているかどうかによって異なります。
Duo Securityの新規登録
- Oktaにサインインするか、Oktaで保護されたアプリにアクセスするユーザーは、Duo Securityに自己登録するように案内されます。
- ユーザーは、[Set up(セットアップ)]をクリックすると、追加するデバイスのタイプを選択するよう求められます。一般的に選択される2つのデバイスタイプのユーザーエクスペリエンスは次のとおりです。
- [Mobile phone(携帯電話)]:ユーザーは、電話番号を入力し、国とデバイスタイプ(AndroidまたはiOSなど)を選択するよう求められます。ユーザーは、テキストメッセージまたは電話を受信して、電話番号の所有権を証明するよう求められる場合もあります。次にユーザーは、Duo Mobileをインストールするか、すでにインストールされていることを示すよう求められます。最後にユーザーは、QRコードをスキャンするか、または[Email me an activation link instead(代わりにアクティベーションリンクをメールで送信)]オプションをクリックして、登録をアクティブ化するよう求められます。
- [Touch ID]:ユーザーは画面の指示に従いTouch IDを登録します。フロー中に、ユーザーは指紋をスキャンするよう求められます。Oktaアプリサインオンポリシーによっては、ユーザーは秘密の質問など追加要素をセットアップするよう要求される場合もあります。
自己登録時にデバイスを選択した後で、Duo Mobileの設定に[Add a new device(新しいデバイスを追加)]というオプションが表示されていれば、エンドユーザーはデバイスを追加できます。このオプションを有効にするには、Duo管理者がDuo管理パネルで[Self-service portal(セルフサービスポータル)]を選択する必要があります。
既存のDuo Securityの登録
- ユーザーは、Duo Security要素を、Oktaにサインインするときや、Oktaで保護されたアプリにアクセスするときに自分自身を認証する方法と見なします。
- ユーザーはDuo Securityオプションを選択します。
- Duo Securityのデプロイメントでのアプリサインオンポリシーまたは設定によっては、サインイン時にエンドユーザーに追加の検証が求められる場合があります。本人確認のために、ユーザーはデバイスでサポートされる認証タイプを選択します。
Duo Mobileアプリのエンドユーザーの設定
Duo Securityに登録する、またはDuo Securityで認証する際、エンドユーザーはDuo Mobileアプリの[Settings(設定)]メニューにアクセスして次のオプションを選択できます。
- [Manage Settings & Devices(設定とデバイスの管理)]。Duo Securityのドキュメントを参照してください。
- Duo管理者がDuo管理パネルで[Self-service portal(セルフサービスポータル)]オプションを選択した場合、[Add a new device(新しいデバイスを追加)]が表示されます。Duoのドキュメントを参照してください。
重要な考慮事項
- Oktaは、Duo Securityアカウントが無効化またはロックされているエンドユーザー(Okta管理者を含む)に対して、アクセスを拒否します。Oktaアプリサインオンポリシーによっては、これらのエンドユーザーが別の要素を使用してOktaで保護されたリソースにサインインできない場合があります。また、OktaサポートはユーザーのDuo Securityデバイスをリセットできません。Duo Securityアカウントのステータスをリセットできるのは、Duo Security管理者のみです。ベストプラクティスとして、複数のDuo Security管理者を設定し、Okta管理者が複数の登録済みデバイスを持つことをお勧めします。
- エンドユーザーのOktaプロファイルで要素をリセットしても、Duo Securityのアカウントはリセットされません。同様に、ユーザーがOktaの[End-User Settings(エンドユーザー設定)ページで[Extra Verification(追加検証)]からDuo Securityを削除しても、登録はDuo Securityに残ります。この場合、エンドユーザーが別のDuo Security認証方法で登録できるようにするには、Duo Security管理パネルで登録を削除します。そうしないと、エンドユーザーにはOktaで要素がリセットまたは削除される前に使用していたものと同じ方法で、プロンプトが表示され続けます。
- ユーザーがWindowsデバイスを使用している場合、Duo SecurityアプリではTouch IDオプションは利用できません。
- プッシュ/SMS/電話を使用したDuo Securityは、RADIUSを用いたAmazon Workspaceではサポートされません。ユーザーは、Duo Securityアプリからのワンタイムパスコードと自分のプライマリパスワードを入力して認証する必要があります。
- RDP向けのMFAでは、Duo要素はサポートされません。