多要素認証について
多要素認証(MFA)は、エンドユーザーがアプリケーションにサインインする際に、IDの検証に使用する追加のセキュリティレイヤーです。
Okta管理者は、MFAを構成し、エンドユーザーがOkta org、アプリケーション、またはその両方にアクセスするときにIDを確認するよう要求できます。
管理者ロールの権限と多要素認証の詳細については、「管理者」を参照してください。
MFA要素タイプの比較
| 要素タイプ | セキュリティー | 展開性 | 使いやすさ |
フィッシング 耐性 |
リアルタイム MITM耐性 |
| パスワード | 弱 | 強 | 強 | 弱 | 弱 |
| セキュリティー上の質問 | 弱 | 強 | 中 | 弱 | 弱 |
| SMS/音声/メール | 中 | 強 | 強 | 中 | 弱 |
| プッシュ検証 | 強 | 強 | 強 | 中 | 中 |
| YubiKey OTP | 強 | 強 | 強 | 中 | 弱 |
| WebAuthn | 強 | 中 | 強 | 強 | 強 |
Okta Verifyプッシュなどのプッシュ検証のほうが、OTPよりも従来のフィッシングに対して効果的です。ただし、耐性を強化する場合は、WebAuthnなどFIDOベースの要素を使用してください。
Oktaを使用すると、管理者はFIDO2標準に基づくWebAuthn要素として、またはその両方として、OTPモードでYubiKeyをデプロイできます。
MFA要素タイプを有効にする
- 管理コンソールで、[Security(セキュリティ)]>[Multifactor(多要素)]>[Factor Types(要素タイプ)]に移動します。
- 要素タイプごとに、[Active(アクティブ)]または[Inactive(非アクティブ)]を選択してステータスを変更します。この設定は、MFA要素の登録ポリシーに応じて、エンドユーザーに対してその要素タイプを有効にできるかどうかを指定します。
- 各要素タイプについて、セキュリティー要件に基づいて表示される使用可能なオプションを構成します。
ソフトロック
ソフトロックは、パスワードポリシー用に構成でき、代理認証にも使用できます。
- MFA自動ロック解除の有効化と設定は、パスワードポリシーでのみ行えます。
- ロック解除期間はカスタマイズできます。
- 自動ロック解除をパスワードポリシーで有効にしていない場合、Oktaはそれを強制適用しません。
- Oktaはすべての要素タイプにおいて失敗したMFAチャレンジをカウントします。Oktaによってアカウントがロックされるまでに、ユーザーが複数回MFAチャレンジに失敗する可能性があります。
- Active Directoryをソースとするユーザーは、Oktaセルフサービス機能を利用して、アカウントをロック解除できます。一方、LDAPをソースとするユーザーは、管理者に問い合わせてOktaアカウントをロック解除する必要があります。
詳細については、「パスワードポリシーの構成」の「ロックアウト」セクションと「ロックアウトについて」セクションを参照してください。
サードパーティMFAプロバイダー
Okta独自のMFA メソッドであるOkta Verify以外にも、他のプロバイダーのサードパーティMFAソリューションをシームレスに使用できます。
サポートされるMFA要素の一覧については、「多要素認証要素の構成」を参照してください。
| ベンダー | 統合タイプ | 注 | サポートされている認証方法 | ドキュメント |
|---|---|---|---|---|
| Symantec VIP | ネイティブ | OTP | 多要素認証の構成 | |
| Duo Security | ネイティブ | OTP、プッシュ、音声 | Duo Securityの構成 | |
| Google 認証システム | ネイティブ | OTP | Okta RADIUS Agentの構成 | |
| YubiKey | ネイティブ | OTP、プッシュOTP | OktaでのYubiKey認証の使用 |