Duo Security（MFA）

Oktaの多要素認証（MFA）オプションとしてDuo Securityを追加できます。要素として有効にすると、Duo SecurityはMFAの記録システムとなり、Oktaは資格情報の二次検証をDuo Securityアカウントに委任します。

既存の登録を使用してDuo Securityを展開している場合、Duo Securityのユーザー名がOktaのユーザー名またはOktaユーザーのメールアドレスと一致していることを確認してください。エンドユーザーがOktaにサインインするか、Oktaで保護されたリソースにアクセスすると、OktaはユーザーのOktaユーザー名またはメールアドレスに従ってDuo Securityアカウントでユーザーを検索します。このトピックで説明するように、ユーザー名のマッピングは変更できます。

既存のDuo Securityに登録されていないユーザーは、Oktaへのサインイン時、またはDuo Securityアカウントページから自己登録できます。Duo SecurityでのOkta統合設定に応じて、エンドユーザーはスマートフォン、タブレット、電話、Touch ID、セキュリティキーで登録できます。

開始する前に
Duo Securityを要素として追加する
エンドユーザーエクスペリエンス
Duo Mobileアプリのエンドユーザーの設定
重要な考慮事項

開始する前に

Duo Securityで、Duo SecurityアカウントとOktaを統合します。統合により、次の値が生成されます。

統合キー
秘密鍵
APIホスト名

これらの値を記録し、Duo Securityを要素として追加するときのために保存しておきます。

Duo Securityを要素として追加する

Admin Consoleでセキュリティ（Security） > 多要素に移動します。
要素タイプ（Factor Types）で Duo Security をクリックします。
Duo Security設定（Settings）の横の編集（Edit）をクリックします。
Oktaとの統合時にDuo Securityで生成した値を入力します。
- 統合キー
- 秘密鍵
- APIホスト名
Duo Securityユーザー名の形式（Username Format）を選択します。
- Oktaのユーザー名
- メール
保存（Save）をクリックします。
右上の非アクティブ（Inactive）をクリックしてアクティブ化（Activate）を選択します。

エンドユーザーエクスペリエンス

エンドユーザーエクスペリエンスは、ユーザーがOktaの要素として構成される前に既にDuo Securityに登録されているかどうかによって異なります。

Duo Securityの新規登録

Oktaにサインインするか、Oktaで保護されたアプリにアクセスするユーザーは、Duo Securityに自己登録するように案内されます。
ユーザーはセットアップ（Set up）をクリックすると、追加するデバイスのタイプを選択するよう求められます。一般的に選択される2つのデバイスタイプのユーザーエクスペリエンスは次のとおりです。
- 携帯電話（［Mobile phone）］：（Mobile phone:）ユーザーは、電話番号を入力し、国とデバイスタイプ（AndroidまたはiOSなど）を選択するよう求められます。ユーザーは、テキストメッセージまたは電話を受信して、電話番号の所有権を証明するよう求められる場合もあります。次にユーザーは、Duo Mobileをインストールするか、すでにインストールされていることを示すよう求められます。最後にユーザーは、QRコードをスキャンするか、または代わりにアクティベーションリンクをメールで送信（Email me an activation link instead）オプションをクリックして、登録をアクティブ化するよう求められます。
- Touch ID：ユーザーは画面の指示に従いTouch IDに登録します。このフロー中に、ユーザーは指紋をスキャンするよう求められます。Oktaアプリサインオンポリシーによっては、ユーザーは秘密の質問など追加要素をセットアップするよう要求される場合もあります。
注:
自己登録時にデバイスを選択した後で、Duo Mobileの設定に新しいデバイスを追加（Add a new device）というオプションが表示されていれば、エンドユーザーはデバイスを追加できます。このオプションを有効にするには、Duo管理者がDuo Admin Panelでセルフサービスポータル（Self-service portal）を選択する必要があります。

既存のDuo Securityの登録

ユーザーはDuo Security要素を、Oktaにサインインするときや、Oktaで保護されたアプリにアクセスするときに自分自身を認証する方法と見なします。
ユーザーはDuo Securityオプションを選択します。
Duo Securityのデプロイでのアプリサインオンポリシーまたは設定によっては、サインイン時にエンドユーザーに追加の検証が求められる場合があります。本人確認のために、ユーザーはデバイスでサポートされる認証タイプを選択します。

Duo Mobileアプリのエンドユーザーの設定

Duo Securityに登録する、またはDuo Securityで認証する際、エンドユーザーはDuo Mobileアプリの設定（Settings）メニューにアクセスして次のオプションを選択できます。

設定とデバイスの管理（Manage Settings & Devices）。 Duo Securityドキュメントを参照してください。
Duo管理者がDuo管理者パネルでセルフサービスポータル（Self-service portal）オプションを選択した場合、新しいデバイスを追加（Add a new device）が表示されます。Duoのドキュメントを参照してください。

重要な考慮事項

Oktaは、Duo Securityアカウントが無効化またはロックされているエンドユーザー（Okta管理者を含む）に対してアクセスを拒否します。Oktaアプリサインオンポリシーによっては、これらのエンドユーザーが別の要素を使用してOktaで保護されたリソースにサインインできない場合があります。また、OktaサポートはユーザーのDuo Securityデバイスをリセットできません。Duo SecurityアカウントのステータスをリセットできるのはDuo Security管理者のみです。ベストプラクティスとして、複数のDuo Security管理者を設定し、Okta管理者が複数の登録済みデバイスを持つことをお勧めします。
エンドユーザーのOktaプロファイルで要素をリセットしても、Duo Securityのアカウントはリセットされません。同様に、ユーザーがOktaのエンドユーザー設定（End-User Settings）ページで追加検証（Extra Verification）からDuo Securityを削除しても、登録はDuo Securityに残ります。この場合、エンドユーザーがDuo Securityの別の認証方法で登録できるようにするには、Duo Security管理者パネルで登録を削除します。そうしないと、エンドユーザーにはOktaで要素がリセットまたは削除される前に使用していたものと同じ方法で、プロンプトが表示され続けます。
ユーザーがWindowsデバイスを使用している場合、Duo Securityアプリでは Touch ID オプションは利用できません。
プッシュ/SMS/電話を使用したDuo Securityは、RADIUSを用いたAmazon Workspaceではサポートされません。ユーザーは、Duo Securityアプリからのワンタイムパスコードと自分のプライマリパスワードを入力して認証する必要があります。
RDP向けのMFAではDuo要素はサポートされません。