MFAの要素シーケンシング

これはアーリーアクセス機能です。有効にする場合は、Oktaサポートにお問い合わせください。

要素シーケンシングを使用すると、エンドユーザーは標準的なパスワードではなく、設定された一連のMFA要素によって認証することで組織にサインインできます。

  • 要素シーケンシングは、Okta Verify Pushおよび他の要素を認証の主な方法としてサポートしています。
  • この機能は、Okta Mobileでは、パスワードが最初の要素として設定されている場合にのみサポートされます。
  • 選択した要素を設定してアクティベートするには、管理コンソール[Scurity(セキュリティ)] > [Multifactor(多要素)] > [Factor Types(要素タイプ)] に移動します。

要素シーケンシングのセットアップは次の2つのステップで行います。

  1. 必須のMFA要素をMFA登録ポリシーで設定する
  2. MFA要素シーケンスを定義する

開始する前に

要素シーケンシングを構成する前に、次の制限事項を確認してください。

  • IDプロバイダーとIWAサインインフローをデプロイしている場合、要素シーケンシングを使用できません。外部IDPやIWAを用いてOktaにサインインするときには追加の要素で認証することを求められません。
  • 要素シーケンシングチェーンをアプリケーションサインオンポリシー用に指定することはできません。
  • ユーザーが正常にサインインするには、要素のシーケンスの最初の要素に登録されている必要があります。シーケンスの最初の要素に登録されていない場合はサインインできません。
  • サインオンポリシーに複数の要素チェーンがある場合、ユーザーは少なくとも1つの要素チェーンの最初の要素に登録されている必要があります。

要素シーケンシングとActive Directory

組織が要素シーケンシングを使用し、認証をActive Directory(AD)に委託する場合、パスワードMFA要素が有効にされていない限り、サインインフローでActive Directoryアカウントステータスはチェックされません。

  • この場合、ユーザーがADで無効になっていても、ADからOktaへの次回のインポートまでステータスが更新されません。
  • パスワードなしのフロー(パスワードなしのWebAuthnOkta Verify Pushなど)が有効になっている場合、ADからOktaへのインポートが実行されるまでの間に、ADで無効になっているユーザーがパスワードなしのフローを使用してOktaにサインインする可能性があります。
  • 問題を軽減するには、スケジュールされた定期的なインポートより前にADを手動でインポートして、ユーザーを無効にするようにOktaに通知します。パスワードの有効期限の状態がチェックされるのは、要素シーケンスでパスワードが使用されている場合のみです。
  • ADパスワードの変更が必要な状況(ADパスワードの有効期限切れなど)でも、パスワードなしのフローを使用すれば、ユーザーはパスワードを変更しなくてもOktaにサインインできてしまいます。

必須のMFA要素の設定

このセクションでは、MFA登録ポリシーで少なくとも1つのMFA要素が必須となっていることを確認します。

  1. 管理コンソール[Security(セキュリティ)] > [Multifactor(多要素)] > [Factor Enrollment(要素登録)]に移動して、ユーザーに対して既にアクティベートしている要素の登録ポリシーを設定します。
  2. 少なくとも1つの要素チェーン内の要素の登録が[Required(必須)]としてマークされていることを確認します。たとえば、サインオンポリシーで次の2つの要素のシーケンスを定義します。
    1. SMSとOkta Verify
    2. Okta Verifyと秘密の質問

    エンドユーザーの認証が成功するには、(a)または(b)の一連の要素の登録が必要になります。

MFA要素シーケンスを定義する

このセクションでは、サインオンポリシーを編集して、Oktaへのユーザーの認証に使用するMFA要素のシーケンスを指定します。

  1. 管理コンソール[Security(セキュリティ)] > [Authentication(認証)] > [Sign On(サインオン)]に移動します。
  2. エンドユーザー用に既存のルールを選択するか、新しいルールを作成します。
  3. ルール条件を選択したら、[認証]まで下にスクロールして要素のシーケンスを定義します。

変更を保存するとすぐに、エンドユーザーが要素シーケンシングによる認証を利用できるようになります。

MFA登録のポリシールールを定義する際の管理コンソールでの要素シーケンシングの例:

エンドユーザーエクスペリエンス

  1. Oktaサインインで、エンドユーザーはIDを入力してサインインするように求められます。
  2. エンドユーザーはIDを入力して[Next(次へ)]をクリックした後、サインオンポリシーの一部として管理者が構成した1つまたは複数の要素で認証する必要があります。
  3. エンドユーザーはまた、ドロップダウンメニューにリストされている要素を用いた認証のシーケンス内のその他の要素を選択することもできます。

関連項目

多要素認証

一般的なセキュリティー

ネットワークセキュリティ