MFA要素シーケンシング
早期アクセスリリース
要素シーケンシングを使用すると、エンドユーザーはパスワードの代わりに一連の多要素認証(MFA)要素を使用して認証できます。
- 要素シーケンシングは、Okta Verify Pushおよび他の要素を認証の主な方法としてサポートしています。
- この機能は、Okta Mobileでは、パスワードが最初の要素として設定されている場合にのみサポートされます。
要素シーケンシングのセットアップは次の2つのステップで行います。
はじめに
要素シーケンシングを構成する前に、次の制限事項を確認してください。
- IDプロバイダーとIWAサインインフローをデプロイしている場合、要素シーケンシングを使用できません。ユーザーが外部IdPやIWAを使ってOktaにサインインする際は、別の要素による認証を求められません。
- 要素シーケンシングチェーンをアプリケーションサインオンポリシー用に指定することはできません。
- ユーザーが正常にサインインするには、要素のシーケンスの最初の要素に登録されている必要があります。シーケンスの最初の要素に登録されていない場合はサインインできません。
- サインオンポリシーに複数の要素チェーンがある場合、ユーザーは少なくとも1つの要素チェーンの最初の要素に登録されている必要があります。
要素シーケンシングとActive Directory
要素シーケンシングの使用中に認証をActive Directoryに委任するには、パスワード要素を有効にします。それ以外の場合、Oktaはサインイン時にActive Directoryアカウントのステータスを確認しません。
- ユーザーアカウントのステータスは、Active DirectoryからOktaへのインポート時にのみ更新されます。インポートの間、ユーザーはパスワードなしのフロー(パスワードなしのWebAuthnまたはOkta Verify Push)を使用して、無効なActive DirectoryアカウントでOktaにサインインできます。Active DirectoryからOktaへの手動インポートを実行して、これらのアカウントがサインインできないことを確認できます。
- Oktaは、要素シーケンスでパスワードが必要な場合のみ、パスワードの有効期限をチェックします。ユーザーがActive Directoryのパスワードを変更しなければならない場合でも、パスワードなしのフローを使用して、パスワードを変更せずにOktaにサインインできます。
必須のMFA要素の設定
このセクションでは、MFA登録ポリシーで少なくとも1つのMFA要素が必須となっていることを確認します。
- Admin Consoleで [セキュリティ]>[Multifactor(多要素)]>[Factor Enrollment(要素登録)]に移動して、ユーザーに対して既にアクティベートしている要素の登録ポリシーを設定します。
- 少なくとも1つの要素チェーン内の要素の登録が[Required(必須)]としてマークされていることを確認します。たとえば、サインオンポリシーで次の2つの要素のシーケンスを定義します。
- SMSとOkta Verify
- Okta Verifyとセキュリティ質問
エンドユーザーの認証が成功するには、(a)または(b)の一連の要素の登録が必要になります。
MFA要素シーケンスを定義する
このセクションでは、Oktaサインオンポリシーを編集し、Oktaへのユーザー認証に使用されるMFA要素のシーケンスを指定します。
- Admin Consoleで[セキュリティ] > [認証] > [Sign On(サインオン)]に移動します。
- エンドユーザー用に既存のルールを選択するか、新しいルールを作成します。
- ルール条件を選択したら、下にスクロールして[Auhenication(認証)]に移動し、要素のシーケンスを定義します。
変更を保存するとすぐに、ユーザーが要素シーケンシングによる認証を利用できるようになります。
MFA登録のポリシールールを定義する際のAdmin Consoleでの要素シーケンシングの例:
エンドユーザーエクスペリエンス
- この機能をアクティブにすると、エンドユーザーのサインインウィジェットが変更されます。最初のページに[ユーザー名]と[パスワード]のフィールドが表示される代わりに、[ユーザー名]フィールドのみが表示されます。エンドユーザーは自分のユーザー名を入力し、[次へ]をクリックします。
- 以降のページには、構成済みシーケンスの各要素が1ページに1つずつ表示されます。ユーザーは、各要素で自分自身を認証し、[Verify(検証)]をクリックします。たとえば、最初にSMS要素、次にWebAuthn要素の順に要素シーケンスを構成した場合、ユーザーの最初のページには[ユーザー名]フィールド、次のページにSMSチャレンジ、その次のページにWebAuthnチャレンジが表示されます。
- ユーザーがすべての検証ステップに合格すると、Oktaダッシュボードが表示されます。