テレフォニー

Oktaでは、外部のテレフォニーサービスプロバイダーに接続し、ユーザーIDを検証するか、電話で認証を行うことができます。テレフォニープロバイダーは、SMSメッセージまたは音声通話を使用してワンタイムパスコード(OTP)をユーザーの電話に送信します。ユーザーはこのOTPを使ってIDを検証してから、アカウントやアプリにアクセスします。

電話によるOTPは、以下の一般的なユースケースに使用できます。

  • 認証要素を検証するためにユーザーからの応答を必要とするチャレンジを発行する。
  • 認証を受けているユーザーが電話を所有していることを確認して、デバイスを多要素認証(MFA)に登録する。
  • パスワードのリセットを承認する。
  • アカウントのロック解除を承認する。

テレフォニーは、Workforce Identity Cloudを使用して従業員プロファイル、アプリアクセス、プロビジョニングを管理しているorgに対し、MFAまたはアカウント復旧にSMSメッセージまたは音声通話を使用するための基盤を提供します。

Customer Identity Cloudを使用しているorgは、テレフォニーを利用することで、SMSメッセージまたは音声通話を使用してパートナー、再販業者、サプライヤー、ディストリビューター、および消費者を認証できるようになります。テレフォニーでは、スマートフォンまたは電話サービスを使用してorgとやり取りする可能性が最も高いユーザーもサポートされます。

SMSと音声通話を使用したID検証の潜在的リスク

電話によるOTPは使い勝手に優れていますが、ユーザーを確実に本人確認できる方法というわけではありません。

SIMスワッピングまたはSIMハイジャッキング

SMSメッセージまたは音声通話から送られてくるOTPは、対象の電話機器に送られない場合があります。不正を企む人は、ユーザーのSIMカードをスワップまたは盗んで、OTPにアクセスする可能性があります。

デバイスを所有することで生じる不確かさ

ユーザーの中には、タブレットやノートパソコンなど複数のデバイスにわたってSMSメッセージを同期する人がいます。メッセージをオンラインで閲覧することもあるでしょう。このような場合、電話を持っていない、あるいは電話を紛失していても、ユーザーは引き続きOTPにアクセスすることができます。同様に、これらの他のデバイスやWebブラウザーへのアクセス権限を持つ者は、OTPにもアクセスできてしまいます。

フィッシング耐性の欠如

不正を企む人は、ユーザーをだまして電話に送られてきたOTPを聞き出そうとします。「フィッシング耐性とそれが重要である理由」を参照してください。

堅牢な鑑別工具を使用する

鑑別工具として電話を使用するリスクを考慮し、Oktaではより堅牢な鑑別工具を使用することをお勧めします。鑑別工具によりユーザーの存在を確認します。また、鑑別工具はデバイスバウンド、ハードウェア保護、フィッシング耐性も実現します。こうした鑑別工具には、アプリ、メールマジックリンク、FIDO2(WebAuthn)などが含まれます。「MFA要素の構成」を参照してください。

正しいテレフォニープロバイダーを選択する

orgのテレフォニーを構成する前に、外部のテレフォニーサービスプロバイダーを選択します。OTPの送信先地域のビジネスニーズと規制要件を満たしていることを確認してください。

Oktaテレフォニーを外部のテレフォニープロバイダーに移行する場合は、「Oktaテレフォニーから移行する」を参照してください。

外部のメールプロバイダーをセットアップする

テレフォニーサービスプロバイダーを構成し、Oktaを使って接続し、OTPを送信します。

  1. 外部のWebサービスをセットアップします。このサービスがテレフォニープロバイダーを呼び出します。あるいは、テレフォニープロバイダーを呼び出すようにOkta Workflowsを構成します。

    テレフォニープロバイダーがOktaとAPI統合を提供する場合(Telesignなど)、このステップをスキップしてもかまいません。詳細については、テレフォニープロバイダーのドキュメントを確認してください。

  2. テレフォニーインラインフックを構成します。
  3. 外部のテレフォニーサービスプロバイダーに接続します。
  4. SMS認証(MFA)を構成します。
  5. 音声通話認証(MFA)を構成します。
  6. テレフォニーサービスをカスタマイズします。