Duo Securityオーセンティケーターの構成

Oktaの多要素認証(MFA)オプションとしてDuo Securityを追加できます。オーセンティケーターとして有効にすると、Duo SecurityがMFAのレコードのシステムとなり、Oktaは認証情報の二次検証をDuo Securityアカウントに委任します。

既存の登録を使用してDuo Securityを展開している場合、Duo Securityのユーザー名がOktaのユーザー名またはOktaユーザーのメールアドレスと一致していることを確認してください。ユーザーがOktaにサインインするか、Oktaで保護されたリソースにアクセスすると、OktaはユーザーのOktaユーザー名またはメールアドレスに従ってDuo Securityアカウントでユーザーを検索します。このトピックで説明するように、ユーザー名のマッピングは変更できます。

既存のDuo Securityに登録されていないエンドユーザーは、サインイン時に、またはDuo Securityアカウントページから自己登録できます。Duo SecurityでのOkta統合設定に応じて、エンドユーザーはスマートフォン、タブレット、電話、Touch ID、セキュリティキーで登録できます。

開始する前に

Duo Securityで、Duo SecurityアカウントをOktaと統合します。この時、次の値が生成されます。この値を記録しておいて、後でOkta 管理コンソールに入力します。

  • 統合キー
  • 秘密鍵
  • APIホスト名

Duo Securityをオーセンティケーターとして追加する

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
  2. [Setup(設定)]タブで、[Add Authenticator(オーセンティケーターを追加)]をクリックします。
  3. [Duo Security]タイルの[Add(追加)]をクリックします。
  4. [Settings(設定)]に、Oktaとの統合時にDuo Securityで生成した値を入力します。
    • 統合キー
    • 秘密鍵
    • APIホスト名
  5. [Duo Security username format(Duo Securityユーザー名形式)]ドロップダウンリストから次のいずれかの形式を選択します。
    • Oktaユーザー名
    • メール
    • SAMアカウント名
  6. [Add(追加)]をクリックします。
  7. Duo Securityを多要素ポリシーに登録します。手順については、「認証登録ポリシーを作成する」を参照してください。

Duo Securityを多要素ポリシーに登録する

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
  2. [Enrollment(登録)]タブで、新しい多要素ポリシーを追加するか、既存の多要素ポリシーを編集します。

    ポリシーを追加する場合:

    1. [Add Multifactor Policy(多要素ポリシーを追加)]をクリックします。
    2. 名前を入力します。
    3. ポリシーをグループに割り当てます。
    4. Duo Security[Optional(任意)]または[Required(必須)]に設定します。
    5. [Create Policy(ポリシーを作成)]をクリックします。

    ポリシーを編集する場合:

    1. 編集するポリシーを選択し、[Edit(編集)]をクリックします。
    2. [Eligible Authenticators(対象オーセンティケーター)]リストで、Duo Security[Optional(任意)]または[Required(必須)]に設定します。
    3. [Update Policy(ポリシーを更新)]をクリックします。
  1. ポリシーに1つ以上のルールを追加する場合は、「認証登録ポリシールールの構成」を参照してください。

エンドユーザーエクスペリエンス

エンドユーザーエクスペリエンスは、OktaDuo Securityをオーセンティケーターとして構成する前にユーザーがすでにDuo Securityに登録されているかどうかによって異なります。

Duo Securityの新規登録

  1. OktaDuo Securityをオーセンティケーターとして構成した後は、エンドユーザーがOktaにサインインしたりOktaで保護されたアプリにアクセスしようとすると、自分でDuo Securityに登録するよう促されます。
  2. エンドユーザーは、[Set up(セットアップ)]をクリックすると、追加するデバイスのタイプを選択するよう求められます。一般的に選択される2つのデバイスタイプのユーザーエクスペリエンスは次のとおりです。
    • [Mobile phone(携帯電話)]:ユーザーは、電話番号を入力し、国とデバイスタイプ(AndroidまたはiOSなど)を選択するよう求められます。ユーザーは、テキストメッセージまたは電話を受信して、電話番号の所有権を証明するよう求められる場合もあります。次にユーザーは、Duo Mobileアプリをインストールするか、すでにインストールされていることを示すよう求められます。最後にユーザーは、QRコードをスキャンするか、または[Email me an activation link instead(代わりにアクティベーションリンクをメールで送信)]オプションをクリックして、登録をアクティベートするよう求められます。
    • [Touch ID]: ユーザーは画面の指示に従いTouch IDを登録します。フロー中に、ユーザーは指紋をスキャンするよう求められます。Okta の認証ポリシーによっては、セキュリティの質問など、別のオーセンティケーターをセットアップするように求められる場合もあります。

自己登録時にデバイスを選択した後で、Duo Mobileの設定に[Add a new device(新しいデバイスを追加)]というオプションが表示されていれば、エンドユーザーはデバイスを追加できます。このオプションを有効にするには、Duo管理者がDuo管理パネルで[Self-service portal(セルフサービスポータル)]を選択する必要があります。

既存のDuo Securityの登録

  1. OktaDuo Securityをオーセンティケーターとして構成すると、ユーザーがOktaにサインインする際、またはOktaで保護されたアプリにアクセスする際に、認証オプションとしてDuo Securityが表示されるようになります。
    または
  2. ユーザーがDuo Securityを選択します。
  3. 認証ポリシーまたはDuo Securityデプロイメントの構成に応じて、ユーザーはサインイン時に追加の検証を求められる場合があります。本人確認のために、ユーザーはデバイスでサポートされる認証タイプを選択します。

Duo Mobileアプリのエンドユーザーの設定

Duo Securityに登録する、またはDuo Securityで認証する際、エンドユーザーはDuo Mobileアプリの[Settings(設定)]メニューにアクセスして次のオプションを選択できます。

  • [Manage Settings & Devices(設定とデバイスの管理)]Duo Securityのドキュメントを参照してください。
  • Duo管理者がDuo管理パネルで[Self-service portal(セルフサービスポータル)]オプションを選択した場合、[Add a new device(新しいデバイスを追加)]が表示されます。Duo Securityのドキュメントを参照してください。

重要な考慮事項

  • Oktaは、Duo Securityアカウントが無効化またはロックされているエンドユーザー(Okta管理者を含む)に対して、アクセスを拒否します。Okta の認証ポリシーによっては、これらのエンドユーザーは別のオーセンティケーターを使用してOktaで保護されたリソースにサインインできない場合があります。
  • OktaサポートはユーザーのDuo Securityデバイスをリセットできません。Duo Securityアカウントのステータスをリセットできるのは、Duo Security管理者のみです。ベストプラクティスとして、複数のDuo Security管理者を設定し、Okta管理者が複数の登録済みデバイスを持つことをお勧めします。
  • エンドユーザーのOktaプロファイルでオーセンティケーターをリセットしても、Duo Securityのアカウントはリセットされません。同様に、ユーザーがOkta [Settings(設定)]ページの[Security Methods(セキュリティ方法)]セクションでDuo Securityを削除しても、登録はDuo Securityに残り続けます。この場合、エンドユーザーが別のDuo Security認証方法で登録できるようにするには、Duo Security管理パネルで登録を削除します。それ以外の場合は、Oktaでオーセンティケーターがリセットまたは削除される前に使用していたのと同じ方法で、引き続きエンドユーザーにメッセージが表示されます。
  • ユーザーがWindowsデバイスを使用している場合、Duo SecurityアプリではTouch IDオプションは利用できません。
  • リモートデスクトッププロトコル(RDP)向けMFAでは、Duo Securityオーセンティケーターはサポートされません。

  • 第3世代のSign-In Widgetは、Duo Securityオーセンティケーターをサポートしません。