多要素認証の要素シーケンス

これは早期アクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

要素シーケンスでは、標準のパスワードの代わりに、構成された一連の多要素認証要素で認証して組織にサインインすることをエンド・ユーザーに許可します。

  • 要素シーケンスでは、Okta Pushやその他の要素が主要な認証方法としてサポートされています。
  • この機能は、Okta Mobileでは、パスワードが最初の要素として設定されている場合にのみサポートされます。
  • 目的の要素を構成してアクティブ化するには、管理コンソールで[セキュリティー] > [多要素] > [要素タイプ]に移動します。

要素シーケンスを正常にセットアップするためのステップは2つです。

  1. 必要な多要素認証要素を多要素認証登録ポリシーで設定する
  2. 多要素認証要素のシーケンスをOktaサインオン・ポリシーで定義する

開始する前に

要素シーケンスを構成する前に、次の制限事項を確認してください。

  • 要素シーケンスは、IDプロバイダーとIWAのサインイン・フローをサポートしていません。外部のIDPまたはIWAを使用してOktaにサインインする場合、ユーザーは追加の要素で認証するように求められません。

  • アプリケーションのサインオン・ポリシーに要素シーケンスのチェーンを指定することはできません。
  • ユーザーが正常にサインインするには、要素のシーケンスの最初の要素に登録されている必要があります。シーケンスの最初の要素に登録されていない場合はサインインできません。
  • サインオン・ポリシーに複数の要素チェーンがある場合、ユーザーは少なくとも1つの要素チェーンの最初の要素に登録されている必要があります。

要素シーケンスとActive Directory

組織で要素シーケンスを使用し、認証をActive Directoryに委任している場合、パスワードの多要素認証要素が有効になっていない限り、サインイン・フローでActive Directoryアカウントのステータスはチェックされません。

  • この場合、ユーザーがADで無効になっていても、ADからOktaへの次回のインポートまでステータスが更新されません。
  • パスワードなしのフロー(パスワードなしのWebAuthNやOkta Verify Pushなど)が有効になっている場合、ADからOktaへのインポートが実行されるまでの間に、ADで無効になっているユーザーがパスワードなしのフローを使用してOktaにサインインする可能性があります。
  • 問題を軽減するには、スケジュールされた定期的なインポートを待たずにADを手動でインポートして、ユーザーを無効にするようにOktaに通知します。パスワードの有効期限の状態は、要素のシーケンスでパスワードが使用されている場合しかチェックされません。
  • ADパスワードの変更が必要な状況(ADパスワードの有効期限切れなど)でも、パスワードなしのフローを使用すれば、ユーザーはパスワードを変更しなくてもOktaにサインインできてしまいます。

必要な多要素認証要素の設定

このセクションでは、多要素認証登録ポリシーで少なくとも1つの多要素認証要素が必須になっていることを確認します。

  1. 管理コンソールで、[セキュリティー] > [多要素] > [要素登録]に移動して、ユーザーに対してすでにアクティブ化している要素の登録ポリシーを設定します。
  2. 少なくとも1つの要素チェーンの要素が登録で[必須]とマークされていることを確認します。たとえば、サインオン・ポリシーで次の2つの要素のシーケンスを定義します。
  3. a. SMSとOkta Verify

    b. Okta Verifyとセキュリティー上の質問

    エンド・ユーザーの認証が成功するには、(a)または(b)の一連の要素の登録が必要になります。

多要素認証要素のシーケンスの定義

このセクションでは、サインオン・ポリシーを編集して、Oktaへのユーザーの認証に使用する多要素認証要素のシーケンスを指定します。

  1. 管理コンソールで、[セキュリティー] > [認証] > [サインオン]の順に進みます。
  2. 既存のルールを選択するか、エンド・ユーザー用に新しいルールを作成します。
  3. ルール条件を選択したら、[認証]まで下にスクロールして要素のシーケンスを定義します。

変更を保存すると、要素シーケンスによる認証がエンド・ユーザーにすぐに利用可能になります。

多要素認証登録のポリシー・ルールを定義する際の管理コンソールでの要素シーケンスの例:

エンド・ユーザー・エクスペリエンス

  1. Oktaにサインインするとき、エンド・ユーザーはIDを入力してサインインするように求められます。
  2. エンド・ユーザーは、IDを入力して[次へ]をクリックした後、サインオン・ポリシーの一部として管理者が構成した1つ以上の要素で認証を行う必要があります。
  3. エンド・ユーザーは、シーケンスから他の要素を選択して、ドロップダウン・メニューにリストされる要素で認証することもできます。

関連項目