多要素認証について
多要素認証(MFA)は、エンドユーザーがアプリケーションにサインインする際に、IDの検証に使用する追加のセキュリティレイヤーです。
Okta管理者は、組織レベルまたはアプリケーションレベルで多要素認証を構成できます。両方のレベルを有効にすると、エンドユーザーはOktaにサインインするときとアプリケーションにアクセスするときに資格情報を確認するように求められます。
管理者ロールの権限と多要素認証の詳細については、「管理者」を参照してください。
MFA要素タイプの比較
| 要素タイプ | セキュリティー | 展開性 | 使いやすさ |
フィッシング 耐性 |
リアルタイム MITM耐性 |
| パスワード | 弱 | 強 | 強 | 弱 | 弱 |
| セキュリティー上の質問 | 弱 | 強 | 中 | 弱 | 弱 |
| SMS/音声/メール | 中 | 強 | 強 | 中 | 弱 |
| プッシュ検証 | 強 | 強 | 強 | 中 | 中 |
| YubiKey OTP | 強 | 強 | 強 | 中 | 弱 |
| WebAuthn | 強 | 中 | 強 | 強 | 強 |
Okta Verifyプッシュなどのプッシュ検証のほうが、OTPよりも従来のフィッシングに対して効果的です。ただし、耐性を強化する場合は、WebAuthnなどFIDOベースの要素を使用してください。
YubiKeyは、OTPモードでデプロイすることも、FIDO2標準に基づいてWebAuthn要素としてデプロイすることもできます。
MFA要素タイプを有効にする
- 管理コンソールで、[Security(セキュリティ)]>[Multifactor(多要素)]>[Factor Types(要素タイプ)]に移動します。
- 要素タイプごとに、[Active(アクティブ)]または[Inactive(非アクティブ)]を選択してステータスを変更します。この設定は、MFA要素登録ポリシーに応じて、要素タイプをエンド・ユーザーに対して有効にできるかどうかを決定します。
- 各要素タイプについて、セキュリティー要件に基づいて表示される使用可能なオプションを構成します。
ソフトロック
ソフトロックは、パスワードポリシー用に構成でき、委任認証にも使用できます。
- MFA自動ロック解除は、パスワードポリシーでのみ有効化および定義できます。
- ロック解除期間はカスタマイズできます。
- 自動ロック解除は、パスワードポリシーで有効化されていない場合にはまったく適用されません。
- このロックアウトカウンターは、要素タイプ全体で共有されます。つまり、ユーザーはさまざまなMFA要素を使用してサインインしようとして失敗し、アカウントがロックアウトされることがあります。
- Active Directoryをソースとするユーザーは、Oktaセルフサービス機能を利用して、アカウントをロック解除できます。一方、LDAPをソースとするユーザーは、管理者に問い合わせてOktaアカウントをロック解除する必要があります。
詳細については、「パスワードポリシーの構成」の「ロックアウト」セクションと「ロックアウトについて」セクションを参照してください。
OktaでのサードパーティMFAプロバイダー
Okta Verifyは、OktaネイティブのMFA方式であり、使いやすさとセキュリティがバランスよく確保されています。ただし、状況によっては他の方式を選択したほうがよい場合もあります。現在MFAにOktaを使用している何百人ものお客様からのフィードバックにより、サードパーティのMFAプロバイダーが必要となるシナリオがいくつか明らかになりました。一部のお客様は以前からレガシーMFAプロバイダーに投資しており、ユーザーエクスペリエンスの変更にかかるコストと労力に注意を払っていました。また、一部の顧客は、特権ユーザーのサブセットに対してハードウェア・トークンが提供できる高レベルの保証を必要としていました。さらに、過渡期の状態にあるお客様もいらっしゃいました。Okta Verifyの採用に意欲的であるものの、古いプロバイダーからの性急な移行には乗り気ではありませんでした。
認証方式は重要ですが、それはOktaのごく一部を表しているにすぎません。柔軟なポリシー・フレームワーク、数千のアプリ統合のカタログ、コンテキスト・アクセス制御により、顧客は組織全体にMFAを幅広く展開できます。Okta Verifyにこだわることはありません。さまざまなサードパーティの認証方式がOktaのIDプラットフォームと互換性があり、シームレスに接続できます。Oktaは複数の要素を同時にサポートできるため、要素間で移行したり、異種のユーザー環境をサポートできるようになります。
Oktaが、さまざまなサードパーティのMFAプロバイダーを専門的にサポートしているのはそのためです。クリックすると、サポートされているプロバイダーとその統合の詳細が示された表が表示されます。
| ベンダー | 統合タイプ | 注 | サポートされている認証方法 | ドキュメント |
|---|---|---|---|---|
| Symantec VIP | ネイティブ | これらの統合は、プロバイダーのAPIやWebSDKの上に構成されます。すべての機能に同様にアクセスできるわけではないため、機能のサポートは異なります。 | OTP | 多要素認証の構成 |
| Duo Security | ネイティブ | OTP、プッシュ、音声 | Duo Securityの構成 | |
| Google 認証システム | ネイティブ | OTP | Okta RADIUS Agentの構成 | |
| YubiKey | ネイティブ | OTP、プッシュOTP | OktaでのYubiKey認証の使用 |