多要素認証について
多要素認証(MFA)は、アプリケーションにサインインするユーザーの本人確認を行う、追加のセキュリティレイヤーです。
Okta管理者は、MFAを構成する際に、いつエンドユーザーの本人確認を要求するか(Okta orgへのアクセス時、アプリケーションへのアクセス時、またはその両方)を指定できます。
管理者ロールの権限と多要素認証の詳細については、「管理者」を参照してください。
MFA要素タイプの比較
| 要素タイプ | セキュリティ | 展開性 | 使いやすさ |
フィッシング 耐性 |
リアルタイム MITM耐性 |
| パスワード | 弱 | 強 | 強 | 弱 | 弱 |
| 秘密の質問 | 弱 | 強 | 中 | 弱 | 弱 |
| SMS/音声/メール | 中 | 強 | 強 | 中 | 弱 |
| プッシュ検証 | 強 | 強 | 強 | 中 | 中 |
| YubiKey OTP | 強 | 強 | 強 | 中 | 弱 |
| WebAuthn | 強 | 中 | 強 | 強 | 強 |
Okta Verify Pushなどのプッシュ検証のほうが、OTPよりも従来のフィッシングに対して効果的です。ただし、耐性を強化する場合は、WebAuthnなどFIDOベースの要素を使用してください。
Oktaでは、YubiKeyを、OTPモードで、またはFIDO2標準に対応したWebAuthn要素として、またはその両方でデプロイできます。
MFA要素タイプを有効にする
- Admin Consoleでに移動します。
- 要素タイプごとに、[Active(アクティブ)]または[Inactive(非アクティブ)]を選択してステータスを変更します。この設定は、MFA要素の登録ポリシーに応じて、エンドユーザーに対してその要素タイプを有効にできるかどうかを指定します。
- セキュリティ要件に従って、要素タイプごとに使用可能なオプションを構成します。
ソフトロック
ソフトロックは、パスワードポリシー用に構成でき、委任認証にも使用できます。
- MFA自動ロック解除の有効化と設定は、パスワードポリシーでのみ行えます。
- ロック解除期間はカスタマイズできます。
- 自動ロック解除をパスワードポリシーで有効にしていない場合、Oktaはそれを強制適用しません。
- Oktaは、MFAチャレンジの失敗を全要素タイプでカウントします。Oktaによってアカウントがロックされるまでに、ユーザーは複数の要素でMFAチャレンジに失敗している可能性があります。
- Active Directory Sourcedのユーザーは、Oktaセルフサービス機能を利用してアカウントのロックを解除できます。一方、LDAPをソースとするユーザーは、管理者に問い合わせてOktaアカウントのロックを解除する 必要があります。
詳細については、「パスワードポリシーを構成する」の「ロックアウト」と「ロックアウトについて」のセクションを参照してください。
サードパーティMFAプロバイダー
Okta独自のMFAメソッドであるOkta Verify以外にも、他のプロバイダーのサードパーティMFAソリューションをシームレスに使用できます。
サポートされるMFA要素の一覧については、「多要素認証要素の構成」を参照してください。
| ベンダー | 統合タイプ | 注 | サポートされる認証方法 | ドキュメント |
|---|---|---|---|---|
| Symantec VIP | ネイティブ | OTP | 多要素認証の構成 | |
| Duo Security | ネイティブ | OTP、プッシュ、音声 | Duo Securityの構成 | |
| Google Authenticator | ネイティブ | OTP | Okta RADIUSエージェントの構成 | |
| YubiKey | ネイティブ | OTP、プッシュOTP | OktaでのYubiKey認証の使用 |