カスタムTOTP要素

Oktaの多要素認証(MFA)オプションとして、時間ベースのワンタイムパスワード (TOTP)要素を追加できます。OktaでカスタムTOTPと関連ポリシーを設定した後、提供されたコードを入力してセットアップするようにエンドユーザーに指示します。セットアップ後、エンドユーザーはOktaにサインインするときやOktaの保護下にあるリソースにアクセスするときにカスタムTOTPを選択することで身元を証明できます。要素の登録を正常に完了するためには、各トークン用のOkta要素APIを通してfactorProfileIdsharedSecret を渡す必要があります。

多要素認証(MFA)戦略で使用するために、Oktaに追加できるカスタムTOTP要素インスタンスの数には制限はありません。各要素インスタンスは、該当カスタムTOTP要素の特定の設定に対応します。カスタムOTPオーセンティケータ-が複数ある場合でも、エンドユーザーはその1つにしか登録できません。

開始する前に

  • Okta要素APIの説明書をお読みください。
  • カスタムTOTPが組織でまだ有効になっていない場合は、Oktaサポートに連絡して有効にするように依頼してください。
  • カスタムTOTP要素に登録する各ユーザー用に一意の共有シークレットを生成します。
  • 実装で使用するHMACおよび共有シークレット符号化アルゴリズムの注を作成します。
  • 一意の共有シークレットを持つハードウェアまたはソフトウェアセキュリティ トークンをエンドユーザーに提供します。

カスタムTOTPを要素として追加する

  1. 管理コンソールで、[セキュリティー] > に移動します [Multifactor(多要素)]に進みます。
  2. [Factor Types(要素タイプ)] タブで TOTPをクリックします。
  3. [Add TOTP Factor(TOTP要素を追加)]をクリックします。
  4. 必ず実装に合ったHMACと共有シークレット符号化アルゴリズムを選択して、以下を設定します。
    • Name(名前)
    • TOTP length(TOTPの長さ)
    • HMAC Algorithm(HMACアルゴリズム)。実装に合ったアルゴリズムを選択してください。
    • Time step(時間ステップ)Clock drift interval(クロック ドリフト期間)を参照してください。
    • Clock drift interval(クロック ドリフト期間)。この設定により、トークンの現在時刻とサーバーの現在時刻間の許容ドリフトを組み込むことができます。たとえば、時間ステップを15秒とし、クロック ドリフト期間を3とした場合、Oktaはユーザーがパスコードを入力する前15 X 3 = 45秒ほどパスコードを受け付けます。
    • Shared secret encoding(共有シークレットのエンコード)。実装に合ったアルゴリズムを選択してください。

  5. [Save(保存)]をクリックします。その要素と関連要素プロファイルIDが表示されます。
  6. ユーザーを登録するために要素プロファイルIDをコピーするには、クリップボードのアイコンをクリックします。Okta要素APIでユーザーを登録するときにこのIDを入力します。
  7. Okta要素APIでユーザーを登録します。APIを呼び出すために以下の情報があることを確認してください。
    • 要素タイプ
    • プロバイダー
    • 要素プロファイルID
    • 共有シークレット
    注

    注:

    • 1人のユーザーは1つのカスタムTOTP要素にのみ登録できます。
    • ユーザーを登録する際、要素IDが割り当てられたセキュリティ トークンに一致することを確認してください。誤った要素IDを使用すると、ユーザーが認証を試みるときにエラーが発生します。
    • 複数ユーザーを登録する前に、1人のユーザーの登録で認証が成功したことを確認します。

Oktaの多要素認証ポリシーにカスタムTOTPを登録する

  1. 管理コンソールで、[セキュリティー] > に移動します オーセンティケーター
  2. [Enrollment(登録)] タブで、新しい多要素認証ポリシーを追加するか、既存の多要素認証ポリシーを編集します。

    ポリシーを追加する場合:

    1. [Add Multifactor Policy(多要素ポリシーを追加)]をクリックします。
    2. 名前を入力します。
    3. グループを割り当てます。
    4. TOTPを [Optional(任意)] または [Required(必須)]に設定します。
    5. [Create Policy(ポリシーを作成)]をクリックします。

    ポリシーを編集する場合:

    1. 編集するポリシーを選択して [Edit(編集)]をクリックします。
    2. [Effective factors(有効な要素)]で、TOTPを [Optional(任意)] または [Required(必須)]に設定します。
    3. [Update Policy(ポリシーをアップデート)]をクリックします。
  1. 1つまたは複数のルールを追加する場合、多要素認証登録ポリシー・ルールの構成 を参照してください。

エンドユーザー エクスペリエンス

  1. サインオン ポリシーで要求されている場合、エンドユーザーはOktaにサインインするかOkta保護下にあるアプリにアクセスする際に要素で身元を証明するように指示されます。

  2. エンドユーザーがあなたのカスタムTOTP要素を選択し、Okta要素APIから登録されている場合、自分のセキュリティ トークンに表示されるパスコードを入力するように指示されます。エンドユーザーがAPIから登録されていない場合、エラーが表示され管理者に連絡するように指示されます。

重要な考慮事項

  • 多くのユーザーを登録する前に、TOTPトークンを使用して少数のユーザーを登録して認証することで設定を確認することが重要です。これにより、多数のユーザーに影響を与えることなく、潜在的な問題を特定して修正できます。要素プロファイルは一旦作成すると編集できません。プロファイルの設定を間違った場合は、すべてのユーザーを新しいTOTPプロファイルに登録し直す必要があります。

  • 管理コンソールから追加するカスタムTOTP要素の数に制限はありませんが、ユーザーは1つのカスタムTOTP要素にしか登録できません。

  • この機能は標準OTPトークンのみでサポートされています。独自仕様の実装や非標準トークンはサポートされていません。

  • OTP設定は一旦作成されると編集できません。[Add(追加)]をクリックして設定を保存する前に、正しい設定を選択してください。