Duo Securityオーセンティケーターの構成
Oktaの多要素認証(MFA)オプションとしてDuo Securityを追加できます。オーセンティケーターとして有効にすると、Duo SecurityがMFAのレコードのシステムとなり、Oktaは認証情報の二次検証をDuo Securityアカウントに委任します。
既存の登録を使用してDuo Securityを展開している場合、Duo Securityのユーザー名がOktaのユーザー名またはOktaユーザーのメールアドレスと一致していることを確認してください。ユーザーがOktaにサインインするか、Oktaで保護されたリソースにアクセスすると、OktaはユーザーのOktaユーザー名またはメールアドレスに従ってDuo Securityアカウントでユーザーを検索します。このトピックで説明するように、ユーザー名のマッピングは変更できます。
既存のDuo Securityに登録されていないエンドユーザーは、サインイン時に、またはDuo Securityアカウントページから自己登録できます。Duo SecurityでのOkta統合設定に応じて、エンドユーザーはスマートフォン、タブレット、電話、Touch ID、セキュリティキーで登録できます。
- 開始する前に
- Duo Securityをオーセンティケーターとして追加する
- Duo Securityを多要素ポリシーに登録する
- エンドユーザーエクスペリエンス
- Duo Mobileアプリのエンドユーザーの設定
- 重要な考慮事項
- 関連項目
開始する前に
Duo Securityで、Duo SecurityアカウントをOktaと統合します。この時、次の値が生成されます。この値を記録しておいて、後でOkta 管理コンソールに入力します。
- 統合キー
- 秘密鍵
- APIホスト名
Duo Securityをオーセンティケーターとして追加する
- Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- [Setup(設定)]タブで、[Add Authenticator(オーセンティケーターを追加)]をクリックします。
- [Duo Security]タイルの[Add(追加)]をクリックします。
- [Settings(設定)]に、Oktaとの統合時にDuo Securityで生成した値を入力します。
- 統合キー
- 秘密鍵
- APIホスト名
- [Duo Security username format(Duo Securityユーザー名形式)]ドロップダウンリストから次のいずれかの形式を選択します。
- Oktaユーザー名
- メール
- SAMアカウント名
- [Add(追加)]をクリックします。
- Duo Securityを多要素ポリシーに登録します。手順については、「認証登録ポリシーを作成する」を参照してください。
Duo Securityを多要素ポリシーに登録する
- Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- [Enrollment(登録)]タブで、新しい多要素ポリシーを追加するか、既存の多要素ポリシーを編集します。
ポリシーを追加する場合:
- [Add Multifactor Policy(多要素ポリシーを追加)]をクリックします。
- 名前を入力します。
- ポリシーをグループに割り当てます。
- Duo Securityを[Optional(任意)]または[Required(必須)]に設定します。
- [Create Policy(ポリシーを作成)]をクリックします。
ポリシーを編集する場合:
- 編集するポリシーを選択し、[Edit(編集)]をクリックします。
- [Eligible Authenticators(対象オーセンティケーター)]リストで、Duo Securityを[Optional(任意)]または[Required(必須)]に設定します。
- [Update Policy(ポリシーを更新)]をクリックします。
- ポリシーに1つ以上のルールを追加する場合は、「認証登録ポリシールールの構成」を参照してください。
エンドユーザーエクスペリエンス
エンドユーザーエクスペリエンスは、OktaでDuo Securityをオーセンティケーターとして構成する前にユーザーがすでにDuo Securityに登録されているかどうかによって異なります。
Duo Securityの新規登録
- OktaでDuo Securityをオーセンティケーターとして構成した後は、エンドユーザーがOktaにサインインしたりOktaで保護されたアプリにアクセスしようとすると、自分でDuo Securityに登録するよう促されます。
- エンドユーザーは、[Set up(セットアップ)]をクリックすると、追加するデバイスのタイプを選択するよう求められます。一般的に選択される2つのデバイスタイプのユーザーエクスペリエンスは次のとおりです。
- [Mobile phone(携帯電話)]:ユーザーは、電話番号を入力し、国とデバイスタイプ(AndroidまたはiOSなど)を選択するよう求められます。ユーザーは、テキストメッセージまたは電話を受信して、電話番号の所有権を証明するよう求められる場合もあります。次にユーザーは、Duo Mobileアプリをインストールするか、すでにインストールされていることを示すよう求められます。最後にユーザーは、QRコードをスキャンするか、または[Email me an activation link instead(代わりにアクティベーションリンクをメールで送信)]オプションをクリックして、登録をアクティベートするよう求められます。
- [Touch ID]: ユーザーは画面の指示に従いTouch IDを登録します。フロー中に、ユーザーは指紋をスキャンするよう求められます。Okta の認証ポリシーによっては、セキュリティの質問など、別のオーセンティケーターをセットアップするように求められる場合もあります。
自己登録時にデバイスを選択した後で、Duo Mobileの設定に[Add a new device(新しいデバイスを追加)]というオプションが表示されていれば、エンドユーザーはデバイスを追加できます。このオプションを有効にするには、Duo管理者がDuo管理パネルで[Self-service portal(セルフサービスポータル)]を選択する必要があります。
既存のDuo Securityの登録
- OktaでDuo Securityをオーセンティケーターとして構成すると、ユーザーがOktaにサインインする際、またはOktaで保護されたアプリにアクセスする際に、認証オプションとしてDuo Securityが表示されるようになります。
または - ユーザーがDuo Securityを選択します。
- 認証ポリシーまたはDuo Securityデプロイメントの構成に応じて、ユーザーはサインイン時に追加の検証を求められる場合があります。本人確認のために、ユーザーはデバイスでサポートされる認証タイプを選択します。
Duo Mobileアプリのエンドユーザーの設定
Duo Securityに登録する、またはDuo Securityで認証する際、エンドユーザーはDuo Mobileアプリの[Settings(設定)]メニューにアクセスして次のオプションを選択できます。
- [Manage Settings & Devices(設定とデバイスの管理)]。Duo Securityのドキュメントを参照してください。
- Duo管理者がDuo管理パネルで[Self-service portal(セルフサービスポータル)]オプションを選択した場合、[Add a new device(新しいデバイスを追加)]が表示されます。Duo Securityのドキュメントを参照してください。
重要な考慮事項
- Oktaは、Duo Securityアカウントが無効化またはロックされているエンドユーザー(Okta管理者を含む)に対して、アクセスを拒否します。Okta の認証ポリシーによっては、これらのエンドユーザーは別のオーセンティケーターを使用してOktaで保護されたリソースにサインインできない場合があります。
- OktaサポートはユーザーのDuo Securityデバイスをリセットできません。Duo Securityアカウントのステータスをリセットできるのは、Duo Security管理者のみです。ベストプラクティスとして、複数のDuo Security管理者を設定し、Okta管理者が複数の登録済みデバイスを持つことをお勧めします。
- エンドユーザーのOktaプロファイルでオーセンティケーターをリセットしても、Duo Securityのアカウントはリセットされません。同様に、ユーザーがOkta [Settings(設定)]ページの[Security Methods(セキュリティ方法)]セクションでDuo Securityを削除しても、登録はDuo Securityに残り続けます。この場合、エンドユーザーが別のDuo Security認証方法で登録できるようにするには、Duo Security管理パネルで登録を削除します。それ以外の場合は、Oktaでオーセンティケーターがリセットまたは削除される前に使用していたのと同じ方法で、引き続きエンドユーザーにメッセージが表示されます。
- ユーザーがWindowsデバイスを使用している場合、Duo SecurityアプリではTouch IDオプションは利用できません。
-
リモートデスクトッププロトコル(RDP)向けMFAでは、Duo Securityオーセンティケーターはサポートされません。
-
第3世代のSign-In Widgetは、Duo Securityオーセンティケーターをサポートしません。