カスタムTOTP要素(MFA)

カスタムTOTP要素の場合、ユーザー認証にカスタム時間ベースのワンタイムパスコード(TOTP)ソリューションを使用できます。

ユーザーはサインイン時にカスタムTOTP要素を選択し、トークンからTOTPを提供して、OktaまたはOktaで保護されたリソースにサインインします。

この要素を設定するには、各トークン用のOkta要素APIを通してfactorProfileIdsharedSecretを渡します。

カスタムTOTP要素のインスタンスは、担当者グループごとに無制限に作成できますが、ユーザーは一度に1つのインスタンスにしか登録できません。

開始する前に

  • Okta要素APIの説明書をお読みください。
  • orgでカスタムTOTPがまだ有効になっていない場合は、Oktaサポートに連絡して有効にしてください。
  • カスタムTOTP要素に登録する各ユーザー用に一意の共有シークレットを生成します。
  • 実装で使用するHMACと共有シークレット符号化アルゴリズムを書き留めます。
  • 一意の共有シークレットを持つハードウェアまたはソフトウェアセキュリティトークンをエンドユーザーに提供します。

カスタムTOTPを要素として追加する

  1. Admin Consoleセキュリティ(Security) > 多要素 に移動します。

  2. 要素タイプ(Factor Types)タブでTOTPをクリックします。
  3. TOTP要素を追加(Add TOTP Factor)をクリックします。
  4. 次のオプションを構成します。実装に合ったHMACと共有シークレット符号化アルゴリズムを選択します。
    • 名前(Name)
    • TOTPの長さ(TITP length)(TOTP length)
    • HMACアルゴリズム(HMAC Algorithm)。実装に適したアルゴリズムを選択してください。
    • 時間ステップ(Time step)クロックドリフト間隔(Clock drift interval)を参照してください。
    • クロック ドリフト期間(Clock drift interval)。この設定により、トークンの現在時刻とサーバーの現在時刻間の許容ドリフトを組み込むことができます。時間ステップを15秒とし、クロックドリフト期間を3とした場合、Oktaはユーザーがパスコードを入力するまで15 X 3 = 45秒ほどパスコードを受け付けます。

    • 共有シークレットのエンコード(Shared secret encoding)。実装に合ったアルゴリズムを選択してください。

  5. 保存(Save)をクリックします。その要素と関連要素プロファイルIDが表示されます。
  6. ユーザーを登録するために要素プロファイルIDをコピーするには、クリップボードのアイコンをクリックします。Okta要素APIでユーザーを登録するときにこのIDを入力します。
  7. Okta要素APIでユーザーを登録します。APIを呼び出すために以下の情報があることを確認してください。
    • 要素タイプ
    • プロバイダー
    • 要素プロファイルID
    • 共有シークレット

Okta多要素ポリシーにカスタムTOTPを登録する

  1. Admin Consoleセキュリティ(Security) > 多要素 に移動します。

  2. 要素登録(Factor Enrollment)タブで、新しい多要素ポリシーを追加するか、既存の多要素ポリシーを編集します。

    ポリシーを追加する(Add a policy)

    1. 多要素ポリシーを追加(Add Multifactor Policy)をクリックします。
    2. 名前を入力します。
    3. ポリシーをグループに割り当てます。
    4. TOTPオプションを 任意(Optional) または必須(Required)に設定します。
    5. ポリシーを作成(Create Policy)をクリックします。

    ポリシーを編集する(Edit a policy)

    1. 編集するポリシーを選択し、編集(Edit)をクリックします。
    2. 有効な要素(Effective factors)で、TOTPオプションを 任意([Optional)] または 必須(Required)に設定します。
    3. ポリシーを更新(Update Policy)をクリックします。
  3. ポリシーにルールを追加する場合は、MFA登録ポリシーを構成するを参照してください。

エンドユーザーエクスペリエンス

  1. サインオンポリシーで必須とされている場合、Oktaへのサインイン時やOktaで保護されたアプリへのアクセス時に、要素による認証を求めるプロンプトがユーザーに表示されます。
  2. ユーザーがOkta要素APIから登録されている場合、セキュリティトークンに表示されるパスコードを入力するプロンプトが表示されます。エンドユーザーがAPIから登録されていない場合、エラーメッセージが表示されます。

重要な考慮事項

  • 構成を確認します。追加のユーザーを登録する前に、TOTPトークンで少数のユーザーを登録して認証します。これにより、多くのユーザーに影響を与えることなく、潜在的な問題を特定して修正できます。要素プロファイルは、作成後に編集することはできません。プロファイルを誤って構成した場合、影響を受けるすべてのユーザーを新しいカスタムTOTPプロファイルに再登録する必要があります。
  • Admin Consoleから追加するカスタムTOTP要素の数に制限はありませんが、ユーザーは1つのカスタムTOTP要素にしか登録できません。
  • この機能は標準OTPトークンのみでサポートされています。独自仕様の実装や非標準トークンはサポートされていません。
  • 作成後にOTP構成を編集することはできません。追加(Add)をクリックして構成を保存する前に、正しい設定を選択します。