Google Authenticatorの構成

Oktaの多要素認証(MFA)オプションとしてGoogle Authenticatorを追加できます。Google Authenticatorがオーセンティケーターとして有効になっている場合、これを選択して認証するユーザーは、Google Authenticatorアプリによって生成された時間ベースの6桁コードの入力を求められます。

Google Authenticatorをオーセンティケーターとして追加する

  1. 管理コンソールで、[セキュリティー] > に移動します [オーセンティケーター]
  2. [設定]タブで、[オーセンティケーターを追加]をクリックします。
  3. Google Authenticatorタイルで[追加]をクリックし、詳細画面でもう一度クリックします。
  4. Google Authenticatorを多要素ポリシーに登録します。

Google Authenticatorを多要素ポリシーに登録する

  1. 管理コンソールで、[セキュリティー] > に移動します [オーセンティケーター]
  2. [登録]タブで、新しい多要素ポリシーを追加するか、既存の多要素ポリシーを編集します。

    ポリシーを追加する場合:

    1. [多要素ポリシーを追加]をクリックします。
    2. 名前を入力します。
    3. グループに割り当てます。
    4. Google Authenticatorを[任意]または[必須]に設定します。
    5. [ポリシーを作成]をクリックします。

    ポリシーを編集する場合:

    1. 編集するポリシーを選択し、[編集]をクリックします。
    2. [有効な要素]で、Google Authenticatorを[任意]または[必須]に設定します。
    3. [ポリシーを更新]をクリックします。
  1. ポリシーに1つ以上のルールを追加する場合は、「多要素認証登録ポリシー・ルールの構成 」を参照してください。

エンド・ユーザー・エクスペリエンス

  1. Apple App StoreまたはPlayストアに移動して、デバイスにGoogle Authenticatorをインストールします(まだインストールしていない場合)。

  2. コンピューターのWebブラウザーで:Oktaにサインインする場合、またはOktaで保護されたリソースにアクセスする場合は、資格情報を入力し、[次へ]をクリックします。

  3. [セキュリティー・オーセンティケーターのセットアップ]画面で、[設定]をクリックします。

  4. デバイスの種類を選択し、[次へ]をクリックします。

  5. 該当するQRコード・スキャン手順を実行します。

    デバイスがQRコードのスキャンをサポートしている場合:

    1. ブラウザーの[次へ]はまだクリックしないでください。

    2. モバイル・デバイスで、Google Authenticatorを起動します。

    3. Google Authenticatorで、+記号をタップします。

    4. [QRコードをスキャン]をタップして、コンピューターのブラウザーに表示されたQRコードにカメラを向けます。デバイスのカメラがQRコードを自動的にスキャンします。

    5. コンピューターのWebブラウザーで、[次へ]をクリックします。

    6. [コードを入力]フィールドに、モバイル・デバイスのGoogle Authenticatorに表示されるセットアップ・キーを入力します。

    7. [確認]をクリックします。

    QRコードをスキャンできない場合:

    1. ブラウザーの[次へ]はまだクリックしないでください。

    2. コンピューターのWebブラウザーで[スキャンできない]をクリックします。

    3. [次へ]ボタンの上のフィールドにある数字と文字の文字列を書き留めます。

    4. モバイル・デバイスで、Google Authenticatorを起動します。

    5. +記号をタップします。

    6. [セットアップ・キーを入力]をタップします。

    7. [アカウント]フィールドに、Oktaユーザー名を入力します。

    8. [キー]フィールドに、前にメモした数字と文字の文字列を入力します。

    9. [追加]をタップします。[シークレットは保存されました]というメッセージが表示されます。

    10. コンピューターのWebブラウザーで[次へ]をクリックします。
    11. [コードを入力]フィールドに、モバイル・デバイスのGoogle Authenticatorに表示されるセットアップ・キーを入力します。

    12. [確認]をクリックします。

OTPオーセンティケーターのレート制限について

機密性の高い企業リソースを不正アクセスから保護するために、Oktaでは、Oktaに登録されたサード・パーティーのOTPオーセンティケーターから試行された認証の失敗にレート制限を適用しています。次のオーセンティケーターから試行された認証の失敗の累積回数が5分間で5回に達すると制限が適用されます。

  • Google Authenticator

認証の失敗がレート制限を超えると、次のようになります。

  • レート制限にパスするまで、認証は許可されません。

  • 「要求が多すぎる」ことを示すHTTPステータス・コード429がOktaから返されます。

  • メッセージがユーザー・インターフェースに表示され、システム・ログに書き込まれます。

重要な考慮事項

許容可能なクロック誤差は2分です。これは、Google Authenticatorがエンド・ユーザーのデバイスのクロックをアプリのクロックと±2分異なることを許容するという意味です。

関連項目

オーセンティケーターの追加

多要素認証登録ポリシーの作成

多要素認証登録ポリシー・ルールの構成