Okta Verifyの構成

Okta Verifyを構成することで、ユーザーにどの方法で認証させるか（プッシュ通知の承認、または番号の照合）を指定できます。多要素ポリシーを使用すると、orgレベルまたはグループレベルでOkta Verifyを有効にできます。

Okta Verifyは、複数のオペレーティングシステムでサポートされています。詳細については、「Okta Verifyでサポートされているプラットフォーム」を参照してください。

Admin Consoleで［Security（セキュリティ）］［Multifactor（多要素）］に移動します。
［Factor Types（要素タイプ）］タブで［Okta Verify］を選択します。
ステータスを［Active（アクティブ）］に設定します。
［Okta Verify Settings（Okta Verify設定）］で［Edit（編集）］をクリックし、有効にする機能を選択します。使用可能な機能はorgの設定によって異なります。
- ［Enable Push Notification（プッシュ通知を有効にする）］：プッシュ通知を使用すると、OktaはユーザーのモバイルデバイスにインストールされたOkta Verifyアプリにプロンプトを送信します。ユーザーは、モバイルデバイスに送信されたプロンプトをタップして本人確認を行います。この機能は、iPhoneおよびAndroidモバイルデバイスで利用できますが、iPod Touchデバイスでは利用できません。詳細については、「プッシュ通知」を参照してください。
- ［Require or Touch ID or Face ID for Okta Verify (only on iOS)（Okta VerifyにTouch IDまたはFace IDを要求する（iOSのみ））］：iOSデバイスのユーザーは、デバイスのTouch IDまたはFace ID機能を使用してOkta Verifyの本人確認を行います。「Apple Touch IDとFace IDについて」を参照してください。
- ［Enable FIPS-Mode Encryption（FIPSモードの暗号化を有効にする）］：FIPSモードの暗号化を適用して、Okta Verifyデータの保護を強化します。「FIPSモードの暗号化について」を参照してください。
- ［Number Challenge（番号チャレンジ）］：番号チャレンジを有効にすると、モバイルデバイスユーザーが不正なプッシュ通知を受け入れることを回避できます。Okta Verifyが番号チャレンジを表示するようにするときは、それを構成します：使用しない（Never）、常時（Always）、またはリスクの高いサインイン試行のみ（High risk sign-in attemps only）。
- ［Use hardware key storage for Android devices（Androidデバイス用のハードウェアキーストレージを使用する）］：
  これは早期アクセス機能です。有効にするには、Oktaサポートにお問い合わせください。
  Androidデバイスのセキュリティを強化するには、この設定を有効にします。これにより、米国連邦政府のID、資格情報、アクセス管理（FICAM）セキュリティアーキテクチャーを実装できます。この機能は、Androidデバイスに保存されているキーにアクセスコントロールとハードウェア保護を適用します。
［Save（保存）］をクリックします。

ユーザーエクスペリエンス

プッシュ通知

orgでOkta Verify with Push Notification（プッシュ通知付きOkta Verify）を有効にしたら、ユーザーが次回Oktaにサインインしたときに、アカウントでプッシュ通知を設定するように促すプロンプトが表示されます。Okta Verifyアプリで構成プロセスが案内されます。

ユーザーはボタンを押すことで即時アップグレードするか、［Remind me later（後で通知）］をクリックして、アップグレードせずに続行することができます。後で通知を選択した場合は、次回サインインしたときにプロンプトが表示されます。

エンドユーザーエクスペリエンスの詳細については、「Okta Verify（エンドユーザー向けドキュメント）」をご覧ください。

Okta Verifyのユーザー登録がOktaサブドメインに関連付けられていることを確認します。Oktaサブドメインの名前を変更する必要がある場合は、アクティブなOkta Verify登録をすべてリセットします。「Oktaサブドメイン名の変更」を参照してください。

プッシュ通知と番号チャレンジ

番号チャレンジを有効にすると、モバイルデバイスユーザーが不正なプッシュ通知を受け入れることを回避できます。番号チャレンジはAndroidおよびiOSデバイスで動作しますが、プッシュ通知が有効になっているOrgのOkta Verifyに登録されている必要があります。

Push Notification with Number Challenge（番号チャレンジでプッシュ通知）を有効にした場合、ユーザーはOkta Verifyで［Yes, It's Me（はい、私です）］をタップすることでサインイン試行を検証できます。その後、デバイスに3つの数値が表示されます。ユーザーは、ブラウザーに表示されているのと同じ番号をタップする必要があります。正しい番号をタップした場合のみ、サインインできます。［No, It's Not Me（いいえ、試行していません）］をタップすると、サインインの試行はブロックされ、サインインできません。

この機能は、LDAPiとRADIUSの環境ではサポートされていません。Okta Verifyは番号一致チャレンジをスキップします。これらの環境では、Okta Verifyではなく別のMFA要素を構成してください。

要素登録ポリシーがOkta Verifyのプッシュ通知を必要とする場合、ユーザーは複数の登録の実行にOkta Verifyの番号チャレンジを使用できません。複数の登録の実行にOkta Verifyの番号チャレンジを使用できるようにするには、プッシュ通知を［Optional（オプション）］に設定します。

前提条件

orgがバージョン番号3.3.0以降のカスタマイズされたSign-In Widgetを使用していることを確認します。
orgが認証APIを直接呼び出している場合は、コードを更新して、番号チャレンジAPIの応答を処理します。「応答の例（3桁の番号検証チャレンジの応答を待機）」を参照してください。

「Okta Verify Push通知を使用したサインイン（iOS）」または「Okta Verify Push通知を使用したサインイン（Android）」を参照してください。

番号チャレンジとリスクスコアリングについて

番号チャレンジ機能とリスクスコアリングを組み合わせて、Okta orgのセキュリティレベルを強化し、不正なサインイン試行を防ぐことができます。

Risk Scoring（リスクスコアリング）が有効になっている場合、Oktaはデバイスの詳細やロケーションなどの基準に基づいてリスクを評価し、Oktaへのサインインの試行ごとにリスクレベルを割り当てます。管理者はサインオンポリシールールをカスタマイズし、割り当てられたリスクレベルに基づいてさまざまな方法で応答できます。たとえば、サインインの試行が高リスクであると考えられる場合に、ユーザーに多要素認証を要求するようにOktaを設定できます。手順については、「リスクスコアリング」を参照してください。

Okta Verify with PushおよびRADIUSエージェントの使用

Okta Verify with PushとOkta RADIUSエージェントを使用するには、Okta RADIUSエージェントをバージョン2.1.5以降にアップグレードする必要があります。現在のエージェントバージョンを確認する手順については、「Okta RADIUS Serverエージェントのバージョン履歴」を参照してください。

Apple Touch IDとFace IDについて

Apple Touch IDおよびFace IDでは、生体認証技術を使用してOkta Verifyを不正使用から保護します。ユーザーの指紋または顔認識要求を構成できます。これは最初のMFAチャレンジの後に表示されます。ユーザーのデバイスが紛失または盗難にあった場合、誰もそのデバイスにアクセスできなくなります。この機能は、iOSデバイスでのみご利用いただけます。

Touch IDとFace IDを有効にすると、エンドユーザーは登録時または認証を求められたときに、デバイスのTouch IDまたはFace IDの構成を求められます。この構成プロセスの手順はデバイスに表示されます。「Androidデバイス上のOkta Verifyによる認証」または「iOSデバイス上のOkta Verifyによる認証」を参照してください。

エンドユーザーがすでにOkta Verify with Pushに登録されており、orgのTouch IDとFace IDを有効化する場合、最小限の設定が求められます。次にPushを使って認証する場合のレスポンスは、iOSデバイスによるエンドユーザーの指紋または顔の画像のキャプチャに応じて異なります。

エンドユーザーの指紋または顔の画像がiOSデバイスにキャプチャされていない場合、Okta Verifyの認証ページで［Send Push（プッシュを送信）］をクリックすると、デバイスの［Touch ID Required（Touch IDが必要）］または［Face ID Required（Face IDが必要）］ページがアクティブになります。
指紋または顔の画像がiOSデバイスにキャプチャされて保存されている場合、Okta Verifyの認証ページで［Send Push（プッシュを送信）］をクリックすると、デバイスの［ Touch ID for Okta Verify（Okta Verify向けTouch ID）］または［Face ID for Okta Verify（Okta Verify向けFace ID）］ページがアクティブになります。

Touch IDまたはFace ID の有効化による影響を受けるのは、Touch IDまたはFace ID機能が搭載されたデバイスで認証を行うエンドユーザーのみです。

FIPSモードの暗号化について

連邦情報処理標準（FIPS）は、政府機関、企業、およびorganization 向けのコンピューターセキュリティガイドラインを確立するために米国政府が開発した一連の技術要件です。

FIPSモードの暗号化を有効にする際、Okta Verifyでは、すべてのセキュリティ操作に対してFIPS 140-2検証を使用し、安全な相互運用性を確保しています。

また、OktaはFIPSの検証済みベンダーを使用しているため、FedRAMP FICAM要件も満たしています。

モバイルデバイスのカバレッジ

詳細については、「Okta Verifyでサポートされているプラットフォーム」を参照してください。

このオプションを有効にすると、エンドユーザーがデバイスでセキュアPINを構成および設定した場合にのみ、AndroidデバイスがFICAMに準拠するようになります。