多要素認証について

多要素認証(MFA)は、アプリケーションにサインインするユーザーの本人確認を行う、追加のセキュリティレイヤーです。

Okta管理者は、MFAを構成する際に、いつエンドユーザーの本人確認を要求するか(Okta orgへのアクセス時、アプリケーションへのアクセス時、またはその両方)を指定できます。

管理者ロールの権限と多要素認証の詳細については、「管理者」を参照してください。

MFA要素タイプの比較

要素タイプ セキュリティ 展開性 使いやすさ

フィッシング

耐性

リアルタイム

MITM耐性

パスワード
秘密の質問
SMS/音声/メール
プッシュ検証
YubiKey OTP
WebAuthn

Okta Verify Pushなどのプッシュ検証のほうが、OTPよりも従来のフィッシングに対して効果的です。ただし、耐性を強化する場合は、WebAuthnなどFIDOベースの要素を使用してください。

Oktaでは、YubiKeyを、OTPモードで、またはFIDO2標準に対応したWebAuthn要素として、またはその両方でデプロイできます。

MFA要素タイプを有効にする

  1. Admin Console[Security(セキュリティ)][Multifactor(多要素)][Factor Types(要素タイプ)]に移動します。
  2. 要素タイプごとに、[Active(アクティブ)]または[Inactive(非アクティブ)]を選択してステータスを変更します。この設定は、MFA要素の登録ポリシーに応じて、エンドユーザーに対してその要素タイプを有効にできるかどうかを指定します。
  3. セキュリティ要件に従って、要素タイプごとに使用可能なオプションを構成します。

ソフトロック

ソフトロックは、パスワードポリシー用に構成でき、委任認証にも使用できます。

  • MFA自動ロック解除の有効化と設定は、パスワードポリシーでのみ行えます。
  • ロック解除期間はカスタマイズできます。
  • 自動ロック解除をパスワードポリシーで有効にしていない場合、Oktaはそれを強制適用しません。
  • Oktaは、MFAチャレンジの失敗を全要素タイプでカウントします。Oktaによってアカウントがロックされるまでに、ユーザーは複数の要素でMFAチャレンジに失敗している可能性があります。
  • Active Directory Sourcedのユーザーは、Oktaセルフサービス機能を利用してアカウントのロックを解除できます。一方、LDAPをソースとするユーザーは、管理者に問い合わせてOktaアカウントのロックを解除する 必要があります。

詳細については、「パスワードポリシーの構成」「ロックアウト」セクションと「ロックアウトについて」セクションを参照してください。

サードパーティMFAプロバイダー

Okta独自のMFAメソッドであるOkta Verify以外にも、他のプロバイダーのサードパーティMFAソリューションをシームレスに使用できます。

サポートされるMFA要素の一覧については、「多要素認証要素の構成」を参照してください。

ベンダー 統合タイプ サポートされている認証方法 ドキュメント
Symantec VIP ネイティブ OTP 多要素認証の構成
Duo Security ネイティブ OTP、プッシュ、音声 Duo Securityの構成
Google Authenticator ネイティブ OTP Okta RADIUSエージェントの構成
YubiKey ネイティブ OTP、プッシュOTP OktaでのYubiKey認証の使用