多要素認証(MFA)について
多要素認証(MFA)は、エンド・ユーザーがアプリケーションにサインインする際のIDの検証に使用する追加のセキュリティー・レイヤーです。
Okta管理者は、組織またはアプリケーションのレベルで多要素認証を構成できます。両方のレベルが有効になっている場合、エンド・ユーザーはOktaへのサインイン時とアプリケーションへのアクセス時の両方で、要素による資格情報の確認を求められます。
管理者ロールの権限と多要素認証の詳細ついては、「管理者」を参照してください。
MFA 要素タイプの比較
| 要素タイプ | セキュリティー | 展開性 | 使いやすさ | フィッシング 耐性 | リアルタイム MITM耐性 |
| パスワード | 弱 | 強 | 強 | 弱 | 弱 |
| セキュリティー上の質問 | 弱 | 強 | 中 | 弱 | 弱 |
| SMS/音声/メール | 中 | 強 | 強 | 中 | 弱 |
| プッシュ検証 | 強 | 強 | 強 | 強 | 中 |
| YubiKey OTP | 強 | 強 | 強 | 中 | 弱 |
| U2FおよびWebAuthn | 強 | 中 | 強 | 強 | 強 |
フィッシング耐性に関する注意
Okta Verifyプッシュなどのプッシュ検証は、従来のフィッシングに対してOTP よりも効果的です。ただし、耐性を強化するために、U2FやWebAuthnなどのFIDOベースの要素を使用してください。
YubiKeyに関する注意
YubiKeyは、OTPモードで、あるいは、FIDO1およびFIDO2標準に基づくU2FまたはWebAuthn要素として、もしくはその両方でデプロイできます。
MFA要素タイプを有効にする
- 管理コンソールで、[セキュリティー] > に移動します [多要素] > [要素タイプ]。
- 要素タイプごとに[アクティブ]または[非アクティブ]を選択してステータスを変更します。この設定は、MFA要素登録ポリシーに応じて、要素タイプをエンド・ユーザーに対して有効にできるかどうかを決定します。
- 各要素タイプについて、セキュリティー要件に基づいて表示される使用可能なオプションを構成します。
ソフトロック
ソフトロックはパスワード・ポリシー用に構成でき、委任認証にも使用できます。
- MFA自動ロック解除は、パスワード・ポリシーでのみ有効化および定義できます。
- ロック解除期間は60分にのみ設定でき、カスタム期間にすることはできません。
- パスワード・ポリシーで自動ロック解除が有効になっていない場合は、まったく強制されません。
- Active Directory(AD)とLDAPが支援するユーザーは、MFAコードの入力の失敗が5回まで認められています。その後はOktaアカウントがロックされます。
- ロックまでの試行失敗回数は変更できず、5回に固定されています。
- このロックアウト・カウンターは要素ごとに異なります。ある要素での試行は、別の要素のロックアウト・カウンターに影響を与えません。
- ADが支援するユーザーは、Oktaセルフサービス機能を利用してアカウントのロックを解除できますが、LDAPが支援するユーザーは、管理者に連絡してOktaアカウントのロックを解除する必要があります。
Oktaを使用したサードパーティーMFAプロバイダー
Oktaのネイティブ多要素認証(MFA)方法であるOkta Verifyは、使いやすさとセキュリティーのバランスをとっています。ただし、状況によって選択が決まる場合もあります。現在MFAにOktaを使用している何百人ものOkta顧客からのフィードバックにより、サードパーティーのMFAプロバイダーが必要となるいくつかのシナリオが明らかになりました。一部の顧客は以前からレガシーMFAプロバイダーに投資しており、ユーザー・エクスペリエンスの変更にかかるコストと労力に注意を払っていました。また、一部の顧客は、特権ユーザーのサブセットに対してハードウェア・トークンが提供できる高レベルの保証を必要としていました。さらに、移行の状態にある顧客もいました。Okta Verifyの採用を熱望しているものの、古いプロバイダーからの急すぎる移行には乗り気ではありませんでした。
認証方法は重要ですが、Oktaでは物語のほんの一部です。柔軟なポリシー・フレームワーク、数千のアプリ統合のカタログ、コンテキスト・アクセス制御により、顧客は組織全体にMFAを幅広く展開できます。Okta Verifyに限定されているわけではありません。さまざまなサードパーティー認証方式がOkta IDプラットフォームと互換性がありシームレスです。Oktaは複数の要素を同時にサポートすることもできるため、組織は要素間を移行したり、異種ユーザー環境をサポートしたりできます。
Oktaが複数のサードパーティーMFAプロバイダーを専門的にサポートしているのはこのためです。クリックすると、サポートされているプロバイダーとその統合の詳細が示された表が表示されます。
| ベンダー | 統合タイプ | 注 | サポートされている認証方法 | ドキュメント |
|---|---|---|---|---|
| Duo Security | ネイティブ | OTP、プッシュ、音声 | Duo Securityの構成 | |
| Google Authenticator | ネイティブ | OTP | Okta RADIUS Agentの構成 | |
| YubiKey | ネイティブ | OTP、プッシュOTP | OktaでのYubiKey認証の使用 |