カスタムTOTP要素

Oktaの多要素認証(MFA)オプションとして、時間ベースのワンタイムパスワード(TOTP)要素を追加できます。OktaカスタムTOTPと関連するポリシーを構成すると、エンドユーザーは指定されたコードを入力してカスタムTOTPを設定するように求められます。設定後、エンドユーザーはOktaにサインインする時やOktaの保護下にあるリソースにアクセスする時に、カスタムTOTPを選択することで身元を証明できます。要素の登録を正常に完了するには、各トークン用のOkta要素APIを通してfactorProfileIdsharedSecretを渡す必要があります。

多要素認証(MFA)戦略で使用するためにOktaに追加できるカスタムTOTP要素インスタンスの数には制限はありません。各要素インスタンスは、該当カスタムTOTP要素の特定の設定に対応します。カスタムOTPオーセンティケーターインスタンスが複数ある場合でも、エンドユーザーは1つにしか登録できません。

開始する前に

  • Okta要素APIの説明書をお読みください。
  • orgでカスタムTOTPがまだ有効になっていない場合は、Oktaサポートに連絡して有効にしてください。
  • カスタムTOTP要素に登録する各ユーザー用に一意の共有シークレットを生成します。
  • 実装で使用するHMACおよび共有シークレット符号化アルゴリズムの注を作成します。
  • 一意の共有シークレットを持つハードウェアまたはソフトウェアセキュリティ トークンをエンドユーザーに提供します。

カスタムTOTPを要素として追加する

  1. 管理コンソールで、[Security(セキュリティ)] > [Multifactor(多要素)]に移動します。
  2. [Factor Types(要素タイプ)] タブで[TOTP]をクリックします。
  3. [Add TOTP Factor(TOTP要素を追加)]をクリックします。
  4. 必ず実装に合ったHMACと共有シークレット符号化アルゴリズムを選択して、以下を設定します。
    • Name(名前)
    • TOTP length(TOTPの長さ)
    • HMAC Algorithm(HMACアルゴリズム)。実装に適したアルゴリズムを選択してください。
    • [Time step(時間ステップ)][Clock drift interval(クロックドリフト間隔)]を参照してください。
    • Clock drift interval(クロック ドリフト期間)。この設定により、トークンの現在時刻とサーバーの現在時刻間の許容ドリフトを組み込むことができます。たとえば、時間ステップを15秒とし、クロックドリフト期間を3とした場合、Oktaはユーザーがパスコードを入力するまで15 X 3 = 45秒ほどパスコードを受け付けます。
    • Shared secret encoding(共有シークレットのエンコード)。実装に合ったアルゴリズムを選択してください。

  5. [Save(保存)]をクリックします。その要素と関連要素プロファイルIDが表示されます。
  6. ユーザーを登録するために要素プロファイルIDをコピーするには、クリップボードのアイコンをクリックします。Okta要素APIでユーザーを登録するときにこのIDを入力します。
  7. Okta要素APIでユーザーを登録します。APIを呼び出すために以下の情報があることを確認してください。
    • 要素タイプ
    • プロバイダー
    • 要素プロファイルID
    • 共有シークレット

    注:

    • 1人のユーザーは1つのカスタムTOTP要素にのみ登録できます。
    • ユーザーを登録する際、要素IDが割り当てられたセキュリティトークンに一致することを確認してください。誤った要素IDを使用すると、ユーザーが認証を試みるときにエラーが発生します。
    • 複数ユーザーを登録する前に、1人のユーザーの登録で認証が成功したことを確認します。

Oktaの多要素認証ポリシーにカスタムTOTPを登録する

  1. 管理コンソールで、[Security(セキュリティ)] > [Multifactor(多要素)]に移動します。
  2. [Factor Enrollment(要素登録)]タブで、新しい多要素ポリシーを追加するか、既存の多要素ポリシーを編集します。

    ポリシーを追加する場合:

    1. [多要素ポリシーを追加]をクリックします。
    2. 名前を入力します。
    3. グループに割り当てます。
    4. TOTPオプションを [Optional(任意)] または[Required(必須)]に設定します。
    5. [Create Policy(ポリシーを作成)]をクリックします。

    ポリシーを編集する場合:

    1. 編集するポリシーを選択し、[Edit(編集)]をクリックします。
    2. [Effective factors(有効な要素)]で、TOTPオプションを [Optional(任意)] または [Required(必須)]に設定します。
    3. [Update Policy(ポリシーを更新)]をクリックします。
  1. ポリシーに1つ以上のルールを追加する場合は、「多要素認証登録ポリシー・ルールの構成」を参照してください。

エンドユーザーエクスペリエンス

  1. サインオンポリシーで要求されている場合、エンドユーザーはOktaにサインインするか、Okta保護下にあるアプリにアクセスする際に要素で身元を証明するように指示されます。
  2. エンドユーザーがカスタムTOTP要素を選択してOkta要素APIで正常に登録されると、セキュリティトークンに表示されるパスコードを入力するように求められます。エンドユーザーがAPIから登録されていない場合、エラーが表示され管理者に連絡するように指示されます。

重要な考慮事項

  • 多くのユーザーを登録する前に、TOTPトークンを使用して少数のユーザーを登録して認証することで設定を確認することが重要です。これにより、多数のユーザーに影響を与えることなく、潜在的な問題を特定して修正できます。要素プロファイルは一旦作成すると編集できません。プロファイルの設定を間違った場合は、すべてのユーザーを新しいTOTPプロファイルに登録し直す必要があります。
  • 管理コンソールから追加するカスタムTOTP要素の数に制限はありませんが、ユーザーは1つのカスタムTOTP要素にしか登録できません。
  • この機能は標準OTPトークンのみでサポートされています。独自仕様の実装や非標準トークンはサポートされていません。
  • OTP設定は一旦作成されると編集できません。[Add(追加)]をクリックして設定を保存する前に、正しい設定を選択してください。