Duo Securityオーセンティケーターの構成

Oktaの多要素認証(MFA)オプションとしてDuo Securityを追加できます。オーセンティケーターとして有効にすると、Duo SecurityがMFAのレコードのシステムとなり、Oktaは認証情報の二次検証をDuo Securityアカウントに委任します。

既存の登録を使用してDuo Securityを展開している場合、Duo Securityのユーザー名がOktaのユーザー名またはOktaユーザーのメール・アドレスと一致していることを確認してください。エンド・ユーザーがOktaにサインインするか、Oktaで保護されたリソースにアクセスすると、OktaはユーザーのOktaユーザー名またはメール・アドレスに従ってDuo Securityアカウントでユーザーを検索します。このトピックで説明するように、ユーザー名のマッピングは変更できます。

既存のDuo Securityに登録されていないエンド・ユーザーは、サインイン時またはDuo Securityアカウント・ページから自己登録できます。Duo SecurityでのOkta統合設定に応じて、エンド・ユーザーはスマートフォン、タブレット、電話、Touch ID、セキュリティー・キーで登録できます。

開始する前に

Duo Securityで、Duo SecurityアカウントをOktaと統合します。統合により次の値が生成されます。これらは後でOkta管理コンソールに入力します。

  • 統合キー

  • 秘密キー

  • APIホスト名

Duo Securityをオーセンティケーターとして追加する

  1. 管理コンソールで、[セキュリティー] > に移動します [オーセンティケーター]

  2. [設定]タブで、[オーセンティケーターを追加]をクリックします。

  3. [Duo Security]タイルの[追加]をクリックします。

  4. [設定]に、Oktaとの統合時にDuo Securityで生成した値を入力します。

    • 統合キー

    • 秘密キー

    • APIホスト名

  5. [Duo Securityユーザー名のフォーマット]を選択します。

    • Oktaユーザー名

    • メール

    • SAMアカウント名

  6. [保存]をクリックします。

  7. Duo Securityを多要素ポリシーに登録します。

Duo Securityを多要素ポリシーに登録する

  1. 管理コンソールで、[セキュリティー] > に移動します [オーセンティケーター]
  2. [登録]タブで、新しい多要素ポリシーを追加するか、既存の多要素ポリシーを編集します。

    ポリシーを追加する場合:

    1. [多要素ポリシーを追加]をクリックします。
    2. 名前を入力します。
    3. グループに割り当てます。
    4. Duo Securityを[任意]または[必須]に設定します。
    5. [ポリシーを作成]をクリックします。

    ポリシーを編集する場合:

    1. 編集するポリシーを選択し、[編集]をクリックします。
    2. [有効な要素]で、Duo Securityを[任意]または[必須]に設定します。
    3. [ポリシーを更新]をクリックします。
  1. ポリシーに1つ以上のルールを追加する場合は、多要素認証登録ポリシー・ルールの構成 を参照してください。

エンド・ユーザー・エクスペリエンス

エンド・ユーザー・エクスペリエンスは、OktaでDuo Securityをオーセンティケーターとして構成する前にユーザーがすでにDuo Securityに登録されているかどうかによって異なります。

Duo Securityの新規登録

  1. OktaでDuo Securityをオーセンティケーターとして構成した後は、Oktaにサインインしているエンド・ユーザー、またはOktaで保護されたアプリにアクセスしているエンド・ユーザーは、Duoでの自己登録がガイドされます。
  2. エンド・ユーザーは、[セットアップ]をクリックすると、追加するデバイスのタイプを選択するよう求められます。一般的に選択される2つのデバイス・タイプのユーザー・エクスペリエンスは次のとおりです。
    • [携帯電話]:ユーザーは、電話番号を入力し、国とデバイス・タイプ(AndroidまたはiOSなど)を選択するよう求められます。ユーザーは、テキスト・メッセージまたは電話を受信して、電話番号の所有権を証明するよう求められる場合もあります。次にユーザーは、Duo Mobileをインストールするか、すでにインストールされていることを示すよう求められます。最後にユーザーは、QRコードをスキャンするか、[代わりにアクティベーション・リンクをメールで送信]オプションをクリックして、登録をアクティブ化するよう求められます。
    • [Touch ID]: ユーザーは画面の指示に従いTouch IDを登録します。フロー中に、ユーザーは指紋をスキャンするよう求められます。Oktaアプリのサインオン・ポリシーによっては、セキュリティー質問など、別のオーセンティケーターをセットアップするように求められる場合もあります。
    注

    自己登録時にデバイスを選択した後で、Duo Mobileの設定に[新しいデバイスを追加]というオプションが表示されていれば、エンド・ユーザーはデバイスを追加できます。このオプションを有効にするには、Duo管理者がDuo管理パネルで[セルフサービス・ポータル]を選択する必要があります。

既存のDuo Securityの登録

  1. OktaでDuo Securityをオーセンティケーターとして構成した後、Oktaにサインインしているエンド・ユーザー、またはOktaで保護されたアプリにアクセスしているエンド・ユーザーには、Duo Securityをオーセンティケーターとして使用してIDを検証するオプションが表示されます。

  2. エンド・ユーザーがDuo Securityオプションを選択します。

  3. Duo Securityの展開でのアプリのサインオン・ポリシーまたは設定によっては、サインイン時にエンド・ユーザーに追加の検証が求められる場合があります。エンド・ユーザーは、デバイスが対応している認証タイプを選択してIDを検証します。

Duo Mobileアプリのエンド・ユーザーの設定

Duo Securityに登録する、またはDuo Securityで認証する際、エンド・ユーザーはDuo Mobileアプリの[設定]メニューにアクセスして次のオプションを選択できます。

  • [設定&とデバイスの管理]Duo Securityのドキュメントを参照してください。

  • Duo管理者がDuo管理パネルで[セルフサービス・ポータル]オプションを選択した場合、[新しいデバイスを追加]が表示されます。Duoのドキュメントを参照してください。

重要な考慮事項

  • Oktaは、Duo Securityアカウントが無効ステータスまたはロックアウト・ステータスのエンド・ユーザー(Okta管理者を含む)へのアクセスを拒否します。Oktaアプリのサインオン・ポリシーによっては、これらのエンド・ユーザーは別のオーセンティケーターを使用してOktaで保護されたリソースにサインインできない場合があります。また、OktaサポートはユーザーのDuo Securityデバイスをリセットできません。Duo Securityアカウントのステータスをリセットできるのは、Duo Security管理者のみです。ベスト・プラクティスとして、Duo Security管理者が複数存在し、Okta管理者が複数のデバイスを登録していることを確認します。

  • エンド・ユーザーのOktaプロファイルでオーセンティケーターをリセットしても、Duo Securityのアカウントはリセットされません。同様に、ユーザーがOktaの[エンド・ユーザー設定]ページで追加認証からDuo Securityを削除しても、登録はDuo Securityに残ります。この場合、エンド・ユーザーが別のDuo Security認証方法で登録できるようにするには、Duo Security管理パネルで登録を削除します。それ以外の場合は、Oktaでオーセンティケーターがリセットまたは削除される前に使用していたのと同じ方法で、引き続きエンド・ユーザーにメッセージが表示されます。

  • ユーザーがWindowsデバイスを使用している場合、Duo SecurityアプリのTouch IDオプションはグレー表示されます。