MFA要素のシーケンス化

この機能は、新規のアクティブ化では利用できなくなりました。これらの説明は、過去のアクティブ化のみを対象としています。これ以上の修正や機能強化は提供されず、サポートはセキュリティ脆弱性の修正のみに限られます。同様の機能を利用するには、Okta Identity Engineにアップグレードし、認証方法チェーン機能を使用します。「Okta Identity Engineへのアップグレード」を参照するか、Oktaサポートにお問い合わせください。

要素のシーケンス化を使用すると、エンドユーザーはパスワードの代わりに一連の多要素認証(MFA)要素を使用して認証できます。

  • 要素のシーケンス化は、Okta Verify Pushおよび他の要素を認証の主な方法としてサポートしています。
  • この機能は、Okta Mobileでは、パスワードが最初の要素として設定されている場合にのみサポートされます。

要素のシーケンス化のセットアップは次の2つのステップで行います。

  1. 必須のMFA要素をMFA登録ポリシーで設定する
  2. MFA要素シーケンスを定義する

開始する前に

要素のシーケンス化を構成する前に、次の制限事項を確認してください。

  • IDプロバイダーとIWAサインインフローをデプロイしている場合、要素のシーケンス化を使用できません。ユーザーが外部IdPやIWAを使ってOktaにサインインする際は、別の要素による認証を求められません。
  • アプリサインオンポリシーに要素シーケンス化チェーンを指定することはできません。
  • ユーザーが正常にサインインするには、要素シーケンスの最初の要素に登録されている必要があります。シーケンスの最初の要素に登録されていない場合はサインインできません。
  • サインオンポリシーに複数の要素チェーンがある場合、ユーザーは少なくとも1つの要素チェーンの最初の要素に登録されている必要があります。

要素のシーケンス化とActive Directory

要素のシーケンス化の使用中に認証をActive Directoryに委任するには、パスワード要素を有効にします。それ以外の場合、Oktaではサインインフロー中のActive Directoryアカウントのステータス確認は行われません。

  • ユーザーアカウントのステータスは、Active DirectoryからOktaへのインポート時にのみ更新されます。インポートの間、ユーザーはパスワードレスフロー(パスワードレスのWebAuthnまたはOkta Verify Push)を使用して、無効なActive DirectoryアカウントでOktaにサインインできます。Active DirectoryからOktaへの手動インポートを実行して、これらのアカウントがサインインできないことを確認できます。
  • Oktaは、要素シーケンスでパスワードが必要な場合のみ、パスワードの有効期限をチェックします。ユーザーがActive Directoryのパスワードを変更しなければならない場合でも、パスワードレスフローを使用して、パスワードを変更せずにOktaにサインインできます。

必須のMFA要素の設定

このセクションでは、MFA登録ポリシーで少なくとも1つのMFA要素が必須となっていることを確認します。

  1. Admin Console[Security(セキュリティ)][Multifactor(多要素)][Factor Enrollment(要素登録)]に移動して、ユーザー向けに既にアクティブ化している要素の登録ポリシーを設定します。
  2. 少なくとも1つの要素チェーン内の要素の登録が[Required(必須)]としてマークされていることを確認します。たとえば、サインオンポリシーで次の2つの要素シーケンシングを定義します。
    1. SMSとOkta Verify
    2. Okta Verifyと秘密の質問

    エンドユーザーの認証が成功するには、(a)または(b)の一連の要素の登録が必要になります。

MFA要素シーケンスを定義する

このセクションでは、Oktaサインオンポリシーを編集し、Oktaへのユーザー認証に使用されるMFA要素のシーケンスを指定します。

  1. Admin Console[Security(セキュリティ)][Authentication(認証)][Sign On(サインオン)]に移動します。
  2. エンドユーザー用に既存のルールを選択するか、新しいルールを作成します。
  3. ルール条件を選択したら、下にスクロールして[Authentication(認証)]に移動し、要素のシーケンスを定義します。

変更を保存すると、ユーザーは直ちに要素のシーケンス化による認証を利用できるようになります。

MFA登録のポリシールールを定義する際のAdmin Consoleでの要素のシーケンス化の例:

エンドユーザーエクスペリエンス

  1. この機能をアクティブにすると、エンドユーザーのSign-In Widgetが変更されます。最初のページに[Username(ユーザー名)][Password(パスワード)]のフィールドが表示される代わりに、[Username(ユーザー名)]フィールドのみが表示されます。エンドユーザーは自分のユーザー名を入力し、[Next(次へ)]をクリックします。
  2. 以降のページには、構成済みシーケンスの各要素が1ページに1つずつ表示されます。ユーザーは、各要素で自分自身を認証し、[Verify(検証)]をクリックします。たとえば、最初にSMS要素、次にWebAuthn要素の順に要素シーケンスを構成した場合、ユーザーの最初のページには[Username(ユーザー名)]フィールド、次のページにSMSチャレンジ、その次のページにWebAuthnチャレンジが表示されます。
  3. ユーザーがすべての検証ステップに合格すると、Oktaダッシュボードが表示されます。

関連項目

多要素認証

一般的なセキュリティ

ネットワークゾーン