Duo Security Authenticatorを構成する

Duo Security Authenticatorを使用することで、ユーザーはOktaへのサインイン時にCisco Duoアプリを認証に利用できます。

Duo Security Authenticatorを有効にした場合、Duo Securityが多要素認証（MFA）の記録システムになります。Oktaは資格情報の二次検証をエンタープライズのDuo Securityアカウントに委任します。リモートデスクトッププロトコル（RDP）向けMFAでは、Duo Security Authenticatorはサポートされません。

このAuthenticatorは所有要素であり、ユーザーの存在の要件を満たし、デバイスバウントです。多要素認証を参照してください。

注:

このAuthenticatorは、従来のDuo Promptを使用してDuo Securityとやり取りします。Duo Universal Promptを使用するには、Duo IDプロバイダー（IdP）を作成してから、Okta IdP AuthenticatorをDuo IdPにリンクします。「Okta Identity EngineでのDuoカスタムIdP Authenticator」および「IdP Authenticatorを構成する」を参照してください。

開始する前に

既存のDuo Security登録があるときは、Duo Securityのユーザー名とメールアドレスの形式がOktaで使用される形式と一致することを事前に確認します。Oktaは、Duo Securityアカウント内のユーザーのルックアップにOktaユーザー名とメールアドレスを使用します。ユーザー名の形式は、このAuthenticatorの構成時に選択できます。
Duo SecurityでDuo SecurityアカウントをOktaと統合します。統合キー、秘密鍵、APIホスト名を記録し、Duo Security Authenticatorの構成時にOktaに入力します。
その他のAuthenticatorを有効化し、グローバルセッションポリシーで利用できるようにします。これにより、ユーザーは代替のセキュリティ方式を利用できるようになります。Oktaは、Duo Securityアカウントが無効化またはロックされているエンドユーザー（Okta管理者を含む）に対して、アクセスを拒否します。
複数のDuo Security管理者を追加し、その他の管理者にDuo Security内の複数のデバイスの登録を求めます。OktaサポートはユーザーのDuo Securityデバイスをリセットできません。Duo Securityアカウントのステータスをリセットできるのは、Duo Security管理者のみです。
第2世代（Sign-In Widget）を有効にします。第3世代はサポートされていません。

このAuthenticatorを追加する

Admin Consoleで、セキュリティ（Security） > Authenticatorに移動します。
設定（Setup）タブで、Authenticatorを追加（Add Authenticator）をクリックします。
Authenticatorタイルの追加（Add）をクリックします。

構成オプション

次のオプションを構成します。

フィールド	値
設定（Settings）	Oktaとの統合時にDuo Securityで生成される値を入力します。統合キー秘密鍵 APIホスト名
Duo SecurityDuo Securityユーザー名の形式（ Username Format）	ユーザー名の形式を選択します。Duo Securityのユーザー名は、OktaユーザーのOktaユーザー名またはメールアドレスと一致する必要があります。 Oktaユーザー名（Okta username）メール SAMアカウント名

追加（Add）をクリックします。Authenticatorが設定（Setup）タブのリストに表示されます。

このAuthenticatorをAuthenticator登録ポリシーに追加する

Admin Consoleで、セキュリティ（Security） > Authenticatorに移動します。
登録（Enrollment）タブをクリックします。
Authenticatorを新規または既存のAuthenticator登録ポリシーに追加します。

このAuthenticatorを編集または削除する

Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

Authenticator（Authenticators）で、設定（Setup）タブに移動します。
Authenticatorの横にあるアクション（Actions）ドロップダウンメニューを開き、編集（Edit）または削除（Delete）を選択します。

エンドユーザーエクスペリエンス

ユーザーエクスペリエンスは、OktaでDuo SecurityをAuthenticatorとして構成する前にユーザーがすでにDuo Securityに登録されているかどうかによって異なります。

Duo Securityの新規登録

このAuthenticatorをOktaに追加し、Authenticator登録ポリシーに含めると、ユーザーにはDuo Securityへの登録が求められます。
セットアップ（Set up）をクリックし、追加するデバイスのタイプを選択します。スマートフォン、タブレット、デバイスの生体認証方式、セキュリティキーを登録できます。
セットアップのエクスペリエンスはデバイスタイプごとに異なります。セットアッププロセスは、プロンプトによってガイドされます。
Duo Securityで該当オプションを有効化していれば、より多くのデバイスを追加できます。Duo Security管理者は、Duo Security管理者パネルで、セルフサービスポータル（Self-service portal）オプションを選択する必要があります。「Duo Securityのドキュメント」を参照してください。

既存のDuo Securityの登録

ユーザーは、Oktaへのサインイン時、またはOktaで保護されたアプリへのアクセス時にセキュリティ方式としてDuo Securityを選択できます。
ユーザーがセキュリテ方式としてDuo Securityを選択すると、追加の検証を要求される場合があります。これは、環境にDuo Securityをどのようにデプロイしたか、またはアプリ・サインイン・ポリシーをどのように構成したかに依存します。

Cisco Duoアプリでのエンドユーザー設定

Duo Securityをリセットまたは削除するときは、再登録を試みる前にDuo Security管理者パネルで登録を削除する必要があります。

ユーザーがWindowsコンピューターを利用している場合、ユーザーのiOSデバイスのCisco DuoアプリではTouchIDオプションを利用できません。

ユーザーはCisco Duoアプリの設定（Settings）メニューにアクセスして次のオプションを選択できます。

設定とデバイスの管理（Manage Settings & Devices）：「Duo Securityのドキュメント」を参照してください。
新しいデバイスを追加（Add a new device）：この項目は、Duo Security管理者がDuo Security管理者パネルでセルフサービスポータル（Self-service portal）オプションを選択した場合に表示されます。「Duo Securityのドキュメント」を参照してください。