MFAの要素シーケンシング
これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。
要素シーケンシングを使用すると、エンドユーザーはパスワードの代わりに一連の多要素認証(MFA)要素を使用して認証できます。
- 要素シーケンシングは、Okta Verify Pushおよび他の要素を認証の主な方法としてサポートしています。
- この機能は、Okta Mobileでは、パスワードが最初の要素として設定されている場合にのみサポートされます。
要素シーケンシングのセットアップは次の2つのステップで行います。
開始する前に
要素シーケンシングを構成する前に、次の制限事項を確認してください。
- IDプロバイダーとIWAサインインフローをデプロイしている場合、要素シーケンシングを使用できません。外部IdPやIWAを用いてOktaにサインインするときには追加の要素で認証することを求められません。
- 要素シーケンシングチェーンをアプリケーションサインオンポリシー用に指定することはできません。
- ユーザーが正常にサインインするには、要素のシーケンスの最初の要素に登録されている必要があります。シーケンスの最初の要素に登録されていない場合はサインインできません。
- サインオンポリシーに複数の要素チェーンがある場合、ユーザーは少なくとも1つの要素チェーンの最初の要素に登録されている必要があります。
要素シーケンシングとActive Directory
要素シーケンシングの使用中に認証をActive Directoryに委任するには、パスワード要素を有効にします。それ以外の場合、Oktaはサインイン時にActive Directoryアカウントのステータスを確認しません。
- ユーザーアカウントのステータスは、Active DirectoryからOktaへのインポート時にのみ更新されます。インポートの間、ユーザーはパスワードなしのフロー(パスワードなしのWebAuthnまたはOkta Verifyプッシュ)を使用して、無効なActive DirectoryアカウントでOktaにサインインできます。Active DirectoryからOktaへの手動インポートを実行して、これらのアカウントがサインインできないことを確認できます。
- Oktaは、要素シーケンスでパスワードが必要な場合のみ、パスワードの有効期限をチェックします。ユーザーがActive Directoryのパスワードを変更する必要がある場合でも、パスワードなしのフローを使用して、パスワードを変更せずにOktaにサインインできます。
必須のMFA要素の設定
このセクションでは、MFA登録ポリシーで少なくとも1つのMFA要素が必須となっていることを確認します。
- 管理者コンソールで [Security(セキュリティ)]>[Multifactor(多要素)]>[Factor Enrollment(要素登録)]に移動して、ユーザーに対して既にアクティベートしている要素の登録ポリシーを設定します。
- 少なくとも1つの要素チェーン内の要素の登録が[Required(必須)]としてマークされていることを確認します。たとえば、サインオンポリシーで次の2つの要素のシーケンスを定義します。
- SMSとOkta Verify
- Okta Verifyとセキュリティ質問
エンドユーザーの認証が成功するには、(a)または(b)の一連の要素の登録が必要になります。
MFA要素シーケンスを定義する
このセクションでは、サインオンポリシーを編集して、Oktaへのユーザーの認証に使用するMFA要素のシーケンスを指定します。
- 管理者コンソールで[Security(セキュリティ)]>[Authentication(認証)]>[Sign On(サインオン)]に移動します。
- エンドユーザー用に既存のルールを選択するか、新しいルールを作成します。
- ルール条件を選択したら、[Auhenication(認証)]まで下方にスクロールして要素のシーケンスを定義します。
変更を保存するとすぐに、ユーザーが要素シーケンシングによる認証を利用できるようになります。
MFA登録のポリシールールを定義する際の管理者コンソールでの要素シーケンシングの例:
エンドユーザーエクスペリエンス
- Oktaは、ユーザーがサインインするときにユーザー名の入力を求めます。
- ユーザーは、管理者がサインオンポリシーで設定した要素で自分自身を認証します。
- ユーザーは、ドロップダウンに表示される任意の要素で自分自身を認証することもできます。