多要素認証
多要素認証とは、ユーザーがアカウントにアクセスするために、2つ以上の方法でIDを確認する必要があることを意味します。パスワード、セキュリティ質問への回答、電話(SMSまたは音声通話)、Okta Verifyなどの認証アプリなどがあります。Oktaでは、ユーザーがIDを確認するこれらの方法をオーセンティケーターと呼びます。
Oktaはさまざまなオーセンティケーターをサポートしています。このため、企業環境固有のMFA要件に応じてオーセンティケーターの使用をカスタマイズできるようになっています。また、ユーザーがオーセンティケーターに登録する方法を制御するMFA登録ポリシーと、エンドユーザーがアカウントにサインインするときに発生する認証チャレンジを決定する認証ポリシーおよびグローバルセッションポリシーをカスタマイズすることもできます。たとえば、ユーザーの場所、割り当てられているグループ、使用しているオーセンティケーターなどに基づいてサインインを許可またはブロックしたり、アクセスの許可や追加のチャレンジの提示などのアクションを指定したりできます。
オーセンティケーターを設定する手順
次の手順では、Oktaがサポートするほとんどのオーセンティケーターを設定するためのワークフローについて説明します。具体的な手順については、使用する各オーセンティケーターのトピックを参照してください。
- オーセンティケーターを有効にします。手順については、各オーセンティケーターのトピックを参照してください。
- オーセンティケーターを構成します。各オーセンティケーターには独自の設定があります。
- オーセンティケーターを認証登録ポリシーに追加してカスタマイズします。
オーセンティケーターとその構成方法の詳細については、「MFAオーセンティケーターについて」を参照してください。
サポートされているオーセンティケーターのリスト
| オーセンティケーター | 要素タイプ | 方式の特徴 | 説明 |
|---|---|---|---|
|
所有 所有 + 生体認証* |
ハードウェア保護 デバイスバウンド ユーザーの存在 |
Okta Verifyは、ユーザーがOktaまたは保護されたリソースにサインインするときにユーザーのIDを確認するために使用されるオーセンティケーターアプリです。 注:Okta Verify for macOSおよびOkta Verify for Windowsは、Okta Identity Engine orgでのみサポートされています。 |
|
|
所有 |
デバイスバウンド ユーザーの存在 |
ユーザーがOktaまたは保護されたリソースにサインインするときにIDを確認できるカスタムOTPオーセンティケーターを追加できます。OktaでカスタムOTPと関連するポリシーを構成すると、エンドユーザーは指定されたコードを入力してカスタムOTPを設定するように求められます。 |
|
|
所有 |
デバイスバウンド ユーザーの存在 |
Duo Securityは、ユーザーがOktaまたは保護されたリソースにサインインするときにIDを確認するために使用されるオーセンティケーターアプリです。Oktaと統合すると、Duo Securityは多要素認証の記録システムになります。 |
|
|
所有 |
ユーザーの存在 |
メールオーセンティケーターを使用すると、ユーザーはプライマリメールアドレスに送信されるトークン(メールマジックリンクと呼ばれます)を使用して認証を正常に実行できます。 |
|
|
所有 |
デバイスバウンド ユーザーの存在 |
Google Authenticatorは、ユーザーがOktaまたは保護されたリソースにサインインするときにユーザーのIDを確認するために使用されるオーセンティケーターアプリです。Google Authenticatorが有効になっている場合、これを選択して認証するユーザーは、Google Authenticatorアプリによって生成された時間ベースの6桁コードの入力を求められます。 |
|
|
知識 |
ユーザーの存在 |
パスワードオーセンティケーターは、ユーザーが指定することも管理者が設定することもできる文字列で構成されています。 |
|
|
所有 |
ユーザーの存在 |
SMSおよび音声通話のオーセンティケーターでは電話を使用する必要があります。テキストメッセージまたは音声通話で送られたコードを、Oktaのプロンプトにユーザーが入力します。 |
|
|
所有 所有 + 生体認証* |
デバイスバウンド フィッシング耐性 ユーザーの存在 |
セキュリティキーまたは生体認証オーセンティケーターは、FIDO2 Web認証(WebAuthn)標準に準拠しています。ユーザーはYubiKeyなどのセキュリティキーを挿入するか、指紋リーダーに触れるか、デバイスで顔をスキャンして検証します。 |
|
|
知識 |
ユーザーの存在 |
セキュリティ質問によるオーセンティケーターは、エンドユーザーが定義した回答を必要とする質問で構成されています。 |
|
|
このオーセンティケーターの要素タイプと方式の特徴は、選択された設定に応じて変化します。 |
スマートカードIdPオーセンティケーターを利用することで、管理者は、ユーザーがOktaにサインインする際、またはアプリにアクセスする際の自分自身の認証を必須にすることができます。 |
||
| 選択オプションなし(ソフトウェアベースの証明書): | |||
|
所有 + 知識 |
ハードウェア保護 フィッシング耐性 ユーザーの存在 |
||
|
[Hardware(ハードウェア)]オプションのみを選択: |
|||
|
所有 |
デバイスバウンド ハードウェア保護 フィッシング耐性 ユーザーの存在 |
||
|
[PIN]オプションのみを選択: |
|||
|
所有 + 知識 |
デバイスバウンド フィッシング耐性 ユーザーの存在 ユーザーの確認 |
||
|
[PIN]および[Hardware(ハードウェア)]オプションを選択: |
|||
|
所有 + 知識 |
デバイスバウンド ハードウェア保護 フィッシング耐性 ユーザーの存在 ユーザーの確認 |
||
|
所有 |
デバイスバウンド ユーザーの存在 |
Symantec Validation and ID Protection Service(VIP)は、ネットワークとアプリケーションへの安全なアクセスを可能にするクラウドベースの認証サービスです。OktaでのオーセンティケーターオプションとしてSymantec VIPを追加できます。 |
|
|
所有 |
ユーザーの存在 |
カスタムのIDプロバイダー(IdP)認証により、管理者は、構成されたIDプロバイダーに基づいてカスタムSAMLまたはOIDC MFAオーセンティケーターを有効にできます。エンドユーザーは、認証のためにIDプロバイダーに転送され、検証が成功するとOktaにリダイレクトされます。 |
|
|
所有 |
ハードウェア保護 デバイスバウンド |
YubiKey OTPオーセンティケーターにより、ユーザーは、YubiKeyハードウェアトークンを押し、アカウントに安全にログインするための新しいワンタイムパスワード(OTP)を生成できます。 |
|
* これらのオーセンティケーターによる検証は、少なくとも必ず1つの所有要素タイプを満たします。登録に使用されるデバイスとオーセンティケーターの検証に使用される方法によっては、2つの要素タイプが満たされる可能性があります。たとえば、PINが必要なセキュリティキーで検証するユーザーは、単一のオーセンティケーターで所有要素と知識要素の両方のタイプを満たしています。