オーセンティケーターの構成
メール、電話またはセキュリティー上の質問を使用するオーセンティケーターを、認証(MFA/SSO)のみ、パスワードのリカバリーのみ、またはその両方で使用するように構成できます。オーセンティケーターが多要素認証またはシングル・サインオンに対して無効になっている場合、サインオン・ポリシーの評価中にオーセンティケーターが要求されることはありません。
エージェントを構成する前に、ご使用の環境にオーセンティケーターを追加する必要があります。
各タイプのオーセンティケーターの構成については、以下のリンクを参照してください。
オーセンティケーターの特性
- デバイス・バウンド:デバイスのキーまたはシークレットはデバイスに保存され、別のデバイスに転送できません。
- ハードウェアで保護:デバイスのキーは別のデバイスまたはTPM、安全なエンクレーブ、RSA SecureIDなどの別のハードウェア・トークンに保存されます。
- フィッシング耐性:ログイン・サーバー(オリジンとも呼ばれます)を暗号で検証するオーセンティケーターです。
オーセンティケーターの概要
オーセンティケーター | 要素タイプ | 特徴 | 説明 |
---|---|---|---|
所有 所有+知識* 所有+生体認証* | ハードウェアで保護 デバイス・バウンド | Okta Verifyは、ユーザーがOktaまたは保護されたリソースにサインインするときにユーザーのIDを確認するために使用されるオーセンティケーター・アプリです。 注:Okta Verify for macOSおよびOkta Verify for Windowsは、Identity Engine組織でのみサポートされています。 | |
所有 |
| Duo Securityは、ユーザーがOktaまたは保護されたリソースにサインインするときにIDを確認するために使用されるオーセンティケーター・アプリです。Oktaと統合すると、Duo Securityは多要素認証の記録システムになります。 | |
所有 |
| メール・オーセンティケーターを使用すると、ユーザーはプライマリ・メール・アドレスに送信されるトークン(メール・マジック・リンクと呼ばれます)を使用して認証を正常に実行できます。 | |
所有 | デバイス・バウンド | Google Authenticatorは、ユーザーがOktaまたは保護されたリソースにサインインするときにユーザーのIDを確認するために使用されるオーセンティケーター・アプリです。Google Authenticatorが有効になっている場合、これを選択して認証するユーザーは、Google Authenticatorアプリによって生成された時間ベースの6桁コードの入力を求められます。 | |
知識 |
| パスワード・オーセンティケーターは、ユーザーが指定することも管理者が設定することもできる文字列で構成されています。 | |
所有 |
| SMSおよび音声通話のオーセンティケーターでは電話を使用する必要があります。テキスト・メッセージまたは音声通話で送られたコードを、Oktaのプロンプトにユーザーが入力します。 | |
所有 所有+知識* 所有+生体認証* | フィッシング耐性 デバイス・バウンド | セキュリティー・キーまたは生体認証オーセンティケーターは、FIDO2 Web認証(WebAuthn)標準に準拠しています。ユーザーはYubiKeyなどのセキュリティー・キーを挿入するか、指紋リーダーに触れるか、デバイスで顔をスキャンして検証します。 | |
知識 |
| セキュリティー上の質問によるオーセンティケーターは、エンド・ユーザーが定義した回答を必要とする質問で構成されています。 | |
所有 |
| カスタムのIDプロバイダー(IdP)認証により、管理者は、構成されたIDプロバイダーに基づいてカスタムSAMLまたはOIDC MFAオーセンティケーターを有効にできます。エンド・ユーザーは、認証のためにIDプロバイダーに転送され、検証が成功するとOktaにリダイレクトされます。 |
*これらのオーセンティケーターによる検証は、少なくとも必ず1つの所有要素タイプを満たします。登録に使用されるデバイスとオーセンティケーターの検証に使用される方法によっては、2つの要素タイプが満たされる可能性があります。たとえば、PINが必要なセキュリティー・キーで検証するユーザーは、単一のオーセンティケーターで所有要素と知識要素の両方のタイプを満たしています。