多要素認証
多要素認証とは、ユーザーがアカウントにアクセスするために、2つ以上の方法でIDを確認する必要があることを意味します。パスワード、セキュリティ上の質問への回答、電話(SMSまたは音声通話)、Okta Verifyなどの認証アプリなどがあります。Oktaでは、ユーザーがIDを確認するこれらの方法をオーセンティケーターと呼びます。
Oktaはさまざまなオーセンティケーターをサポートしています。このため、企業環境固有のMFA要件に応じてオーセンティケーターの使用をカスタマイズできるようになっています。また、ユーザーがオーセンティケーターに登録する方法を制御するMFA登録ポリシーと、エンドユーザーがアカウントにサインインするときに発生する認証チャレンジを決定する認証ポリシーおよびグローバルセッションポリシーをカスタマイズすることもできます。たとえば、ユーザーの場所、割り当てられているグループ、使用しているオーセンティケーターなどに基づいてサインインを許可またはブロックしたり、アクセスの許可や追加のチャレンジの提示などのアクションを指定したりできます。
オーセンティケーターを設定する手順
次の手順では、Oktaがサポートするほとんどのオーセンティケーターを設定するためのワークフローについて説明します。具体的な手順については、使用する各オーセンティケーターのトピックを参照してください。
- オーセンティケーターを有効にします。手順については、各オーセンティケーターのトピックを参照してください。
- オーセンティケーターを構成します。各オーセンティケーターには独自の設定があります。
- オーセンティケーターをMFA登録ポリシーに追加してカスタマイズします。
オーセンティケーターとその構成方法の詳細については、「MFAオーセンティケーターについて」を参照してください。
サポートされているオーセンティケーターのリスト
| オーセンティケーター | 要素タイプ | 方式の特徴 | 説明 |
|---|---|---|---|
|
所有 所有 + 生体認証* |
ハードウェアで保護 デバイスバウンド ユーザーの存在 |
Okta Verifyは、ユーザーがOktaまたは保護されたリソースにサインインするときにユーザーのIDを確認するために使用されるオーセンティケーターアプリです。 注:Okta Verify for macOSおよびOkta Verify for Windowsは、Okta Identity Engine orgでのみサポートされています。 |
|
|
所有 所有 + 生体認証* |
ハードウェアで保護 デバイスバウンド ユーザーの存在 |
カスタムオーセンティケーターは、ユーザーが保護されたリソースにサインインするときにユーザーのIDを確認するために使用されるオーセンティケーターアプリです。 |
|
|
所有 |
デバイスバウンド ユーザーの存在 |
ユーザーがOktaまたは保護されたリソースにサインインするときにIDを確認できるカスタムOTPオーセンティケーターを追加できます。OktaでカスタムOTPと関連するポリシーを構成すると、エンド・ユーザーは指定されたコードを入力してカスタムOTPを設定するように求められます。 |
|
|
所有 |
デバイスバウンド ユーザーの存在 |
Duo Securityは、ユーザーがOktaまたは保護されたリソースにサインインするときにIDを確認するために使用されるオーセンティケーター・アプリです。Oktaと統合すると、Duo Securityは多要素認証の記録システムになります。 |
|
|
所有 |
ユーザーの存在 |
メールオーセンティケーターを使用すると、ユーザーはプライマリメールアドレスに送信されるトークン(メールマジックリンクと呼ばれます)を使用して認証を正常に実行できます。 |
|
|
所有 |
デバイスバウンド ユーザーの存在 |
Google認証システムは、ユーザーがOktaまたは保護されたリソースにサインインするときにユーザーのIDを確認するために使用されるオーセンティケーターアプリです。Google認証システムが有効になっている場合、これを選択して認証するユーザーは、Google認証システムアプリによって生成された時間ベースの6桁コードの入力を求められます。 |
|
|
知識 |
ユーザーの存在 |
パスワードオーセンティケーターは、ユーザーが指定することも管理者が設定することもできる文字列で構成されています。 |
|
|
所有 |
ユーザーの存在 |
SMSおよび音声通話のオーセンティケーターでは電話を使用する必要があります。テキストメッセージまたは音声通話で送られたコードを、Oktaのプロンプトにユーザーが入力します。 |
|
|
所有 所有 + 生体認証* |
デバイスバウンド フィッシング耐性 ユーザーの存在 |
セキュリティキーまたは生体認証オーセンティケーターは、FIDO2 Web認証(WebAuthn)標準に準拠しています。ユーザーはYubiKeyなどのセキュリティキーを挿入するか、指紋リーダーに触れるか、デバイスで顔をスキャンして検証します。 |
|
|
知識 |
ユーザーの存在 |
セキュリティ上の質問によるオーセンティケーターは、エンドユーザーが定義した回答を必要とする質問で構成されています。 |
|
|
所有 |
デバイスバウンド ユーザーの存在 |
Symantec Validation and ID Protection Service(VIP)は、ネットワークとアプリケーションへの安全なアクセスを可能にするクラウドベースの認証サービスです。Oktaでのオーセンティケーター・オプションとしてSymantec VIPを追加できます。 |
|
|
カスタムIdP要素認証オーセンティケーター |
所有 |
ユーザーの存在 |
カスタムのIDプロバイダー(IdP)認証により、管理者は、構成されたIDプロバイダーに基づいてカスタムSAMLまたはOIDC MFAオーセンティケーターを有効にできます。エンド・ユーザーは、認証のためにIDプロバイダーに転送され、検証が成功するとOktaにリダイレクトされます。 |
|
所有 |
ハードウェアで保護 デバイスバウンド |
YubiKey OTPオーセンティケーターにより、ユーザーは、YubiKeyハードウェアトークンを押し、アカウントに安全にログインするための新しいワンタイムパスワード(OTP)を生成できます。 |
* これらのオーセンティケーターによる検証は、少なくとも必ず1つの所有要素タイプを満たします。登録に使用されるデバイスとオーセンティケーターの検証に使用される方法によっては、2つの要素タイプが満たされる可能性があります。たとえば、PINが必要なセキュリティキーで検証するユーザーは、単一のオーセンティケーターで所有要素と知識要素の両方のタイプを満たしています。