多要素認証

多要素認証(MFA)とは、ユーザーがアカウントにアクセスするために、2つ以上の方法でIDを確認する必要があることを意味します。これにより、許可されていない人物がユーザーのアカウントにサインインするのが難しくなります。そのような人物がユーザーのすべての認証方法にアクセスできる可能性は低いからです。

要素タイプと方式の特徴ががことなるAuthenticatorを追加すると、MFA戦略が強化されます。アプリまたはユーザーのグループに対してAuthenticatorを必須にしたり、アカウント復旧に使用できるAuthenticatorを指定したりできます。

要素タイプ

方式の特徴

Authenticator

所有

ユーザーの存在 メール、電話、IdP
ユーザーの存在、デバイスバウンド カスタムOTP、Duo Security、Google Authenticator、Symantec VIP
ユーザーの存在、デバイスバウンド、ハードウェア保護 YubiKey OTP
ユーザーの存在、デバイスバウンド、フィッシング耐性 Smart Card IdP
ユーザーの存在、デバイスバウンド、フィッシング耐性、ハードウェア保護 Smart Card IdP(ハードウェアオプション付き)
所有 + 固有(生体認証) ユーザーの存在、デバイスバウンド、ハードウェア保護 Okta Verify、カスタムAuthenticator
ユーザーの存在、デバイスバウンド、フィッシング耐性 FIDO2(WebAuthn)
所有 + 知識

ユーザーの存在、デバイスバウンド、フィッシング耐性、ユーザーの確認 Smart Card IdP(PINオプション付き)
ユーザーの存在、デバイスバウンド、フィッシング耐性、ユーザーの確認、ハードウェア保護 Smart Card IdP(PINおよびハードウェアオプション付き)
知識 ユーザーの存在 パスワード、セキュリティ質問

要素タイプ

Okta Authenticatorは次の3つの要素タイプに分類できます。

  • 所有:ユーザーが所有しているもの。電話やメールアカウントなど。
  • 知識:ユーザーが知っていること。パスワードやセキュリティ質問に対する回答など。
  • 固有:ユーザーの一部。指紋や顔など、デバイスでスキャンできるユーザーの物理的な属性です。

方式の特徴

要素は複数の方式の特徴に分類できます。

  • デバイスバウンド:このAuthenticatorは特定のデバイスに関連付けられます。
  • ハードウェア保護:このAuthenticatorは認証に物理デバイスを必要とします。
  • フィッシング耐性:このAuthenticatorは、ユーザーが他のユーザーと共有できる認証データを提供しません。そのため、ユーザーがフィッシングキャンペーンでだまされて資格情報を共有することがあり得ません。「フィッシング耐性のある認証」と「フィッシング耐性を高めるためのOktaソリューション」を参照してください。
  • ユーザーの存在:このAuthenticatorは人間の操作を必要とします。
  • ユーザーの確認:このAuthenticatorは、特定のユーザーが現在認証中の人物であることを証明します。

Authenticator

Authenticatorを追加する

Authenticatorを使用するには、[セキュリティ][Authenticator)]から目的のAuthenticatorを追加して構成し、Authenticator登録ポリシーに追加します。手順については、Authenticatorのトピックを参照してください。

カスタムAuthenticator

カスタムOTP

Duo Security

メール

FIDO2(WebAuthn)

Google Authenticator

IdP

Okta Verify

パスワード

電話

セキュリティ質問

Smart Card IdP

Symantec VIP

YubiKey OTP