テレフォニー
Oktaでは、外部のテレフォニーサービスプロバイダーに接続し、ユーザーIDを検証するか、電話で認証を行うことができます。テレフォニープロバイダーは、SMSメッセージまたは音声通話を使用してワンタイムパスコード(OTP)をユーザーの電話に送信します。ユーザーはこのOTPを使ってIDを検証してから、アカウントやアプリにアクセスします。
電話によるOTPは、以下の一般的なユースケースに使用できます。
- 認証要素を検証するためにユーザーからの応答を必要とするチャレンジを発行する。
- 認証を受けているユーザーが電話を所有していることを確認して、デバイスを多要素認証(MFA)に登録する。
- パスワードのリセットを承認する。
- アカウントのロック解除を承認する。
テレフォニーは、Workforce Identity Cloudを使用して従業員プロファイル、アプリアクセス、プロビジョニングを管理しているorgに対し、MFAまたはアカウント復旧にSMSメッセージまたは音声通話を使用するための基盤を提供します。
Customer Identity Cloudを使用しているorgは、テレフォニーを利用することで、SMSメッセージまたは音声通話を使用してパートナー、再販業者、サプライヤー、ディストリビューター、および消費者を認証できるようになります。テレフォニーでは、スマートフォンまたは電話サービスを使用してorgとやり取りする可能性が最も高いユーザーもサポートされます。
SMSと音声通話を使用したID検証の潜在的リスク
電話によるOTPは使い勝手に優れていますが、ユーザーを確実に本人確認できる方法というわけではありません。
SIMスワッピングまたはSIMハイジャッキング
SMSメッセージまたは音声通話から送られてくるOTPは、対象の電話機器に送られない場合があります。不正を企む人は、ユーザーのSIMカードをスワップまたは盗んで、OTPにアクセスする可能性があります。
デバイスを所有することで生じる不確かさ
ユーザーの中には、タブレットやノートパソコンなど複数のデバイスにわたってSMSメッセージを同期する人がいます。メッセージをオンラインで閲覧することもあるでしょう。このような場合、電話を持っていない、あるいは電話を紛失していても、ユーザーは引き続きOTPにアクセスすることができます。同様に、これらの他のデバイスやWebブラウザーへのアクセス権限を持つ者は、OTPにもアクセスできてしまいます。
フィッシング耐性の欠如
不正を企む人は、ユーザーをだまして電話に送られてきたOTPを聞き出そうとします。「フィッシング耐性とそれが重要である理由」を参照してください。
堅牢な鑑別工具を使用する
鑑別工具として電話を使用するリスクを考慮し、Oktaではより堅牢な鑑別工具を使用することをお勧めします。鑑別工具によりユーザーの存在を確認します。また、鑑別工具はデバイスバウンド、ハードウェア保護、フィッシング耐性も実現します。こうした鑑別工具には、アプリ、メールマジックリンク、FIDO2(WebAuthn)などが含まれます。「MFA要素の構成」を参照してください。
正しいテレフォニープロバイダーを選択する
orgのテレフォニーを構成する前に、外部のテレフォニーサービスプロバイダーを選択します。OTPの送信先地域のビジネスニーズと規制要件を満たしていることを確認してください。
Oktaテレフォニーを外部のテレフォニープロバイダーに移行する場合は、「Oktaテレフォニーから移行する」を参照してください。
外部のメールプロバイダーをセットアップする
テレフォニーサービスプロバイダーを構成し、Oktaを使って接続し、OTPを送信します。
-
外部のWebサービスをセットアップします。このサービスがテレフォニープロバイダーを呼び出します。あるいは、テレフォニープロバイダーを呼び出すようにOkta Workflowsを構成します。
テレフォニープロバイダーがOktaとAPI統合を提供する場合(Telesignなど)、このステップをスキップしてもかまいません。詳細については、テレフォニープロバイダーのドキュメントを確認してください。
- テレフォニーインラインフックを構成します。
- 外部のテレフォニーサービスプロバイダーに接続します。
- SMS認証(MFA)を構成します。
- 音声通話認証(MFA)を構成します。
- テレフォニーサービスをカスタマイズします。