Duo Security Authenticatorの構成
Duo Security Authenticatorを使用することで、ユーザーはOktaへのサインイン時にCisco Duoアプリを認証に利用できます。
Authenticatorとして有効にすると、Duo Securityが多要素認証(MFA)レコードのシステムとなり、Oktaは資格情報の二次検証をエンタープライズのDuo Securityアカウントに委任します。リモートデスクトッププロトコル(RDP)向けのMFAでは、Duo Security Authenticatorはサポートされません。
このAuthenticatorは所有要素であり、ユーザーの存在の要件を満たし、デバイスバウントです。「多要素認証」を参照してください。
はじめに
- 既存のDuo Security登録があるときは、Duo Securityのユーザー名とメールアドレスの形式がOktaで使用される形式と一致することを事前に確認します。Oktaは、Duo Securityアカウント内のユーザーのルックアップにOktaユーザー名とメールアドレスを使用します。ユーザー名の形式は、このAuthenticatorの構成時に選択できます。
- Duo SecurityでDuo SecurityアカウントをOktaと統合します。統合キー、秘密鍵、APIホスト名を記録し、Duo Security Authenticatorの構成時にOktaに入力します。
- その他のAuthenticatorを有効化し、グローバルセッションポリシーで利用できるようにします。これにより、ユーザーは代替のセキュリティ方式を利用できるようになります。Oktaは、Duo Securityアカウントが無効化またはロックされているエンドユーザー(Okta管理者を含む)に対して、アクセスを拒否します。
- 複数のDuo Security管理者を追加し、その他の管理者にDuo Security内の複数のデバイスの登録を求めます。OktaサポートはユーザーのDuo Securityデバイスをリセットできません。Duo Securityアカウントのステータスをリセットできるのは、Duo Security管理者のみです。
-
第2世代のSign-In Widget を有効化します(第3世代はサポートされません)。
Duo Security Authenticatorを追加する
-
Admin Consoleで に移動します。
-
[Setup(設定)]タブで[Add Authenticator(Authenticatorを追加)]をクリックします。
-
Authenticatorタイルの[Add(追加)]をクリックします。
構成オプション
-
次のオプションを構成します。
フィールド
値
Settings(設定) Oktaとの統合時にDuo Securityで生成される値を入力します。 - 統合キー
- 秘密鍵
- APIホスト名
Duo Security Username Format(Duo Securityユーザー名の形式) ユーザー名の形式を選択します。Duo Securityのユーザー名は、OktaユーザーのOktaユーザー名またはメールアドレスと一致する必要があります。 - Oktaユーザー名
- メール
- SAMアカウント名
-
[Add(追加)]をクリックします。[Setup(設定)]タブのリストにAuthenticatorが表示されます。
Authenticator登録ポリシーにDuo Security Authenticatorを追加する
-
Admin Consoleで に移動します。
- [Enrollment(登録)]タブをクリックします。
- Authenticatorを新規または既存のAuthenticator登録ポリシーに追加します。「Authenticator登録ポリシーを作成する」を参照してください。
Duo Security Authenticatorを編集または削除する
Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。
- [Authenticator]で、[Setup(設定)]タブに移動します。
- Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]または[Delete(削除)]を選択します。
エンドユーザーエクスペリエンス
ユーザーエクスペリエンスは、OktaでDuo SecurityをAuthenticatorとして構成する前にユーザーがすでにDuo Securityに登録されているかどうかによって異なります。
Duo Securityの新規登録
- このAuthenticatorをOktaに追加し、Authenticator登録ポリシーに含めると、ユーザーにはDuo Securityへの登録が求められます。
- [Set up(セットアップ)]をクリックし、追加するデバイスのタイプを選択します。スマートフォン、タブレット、デバイスの生体認証方式、セキュリティキーを登録できます。
- セットアップのエクスペリエンスはデバイスタイプごとに異なります。セットアッププロセスは、プロンプトによってガイドされます。
- Duo Securityで該当オプションを有効化していれば、より多くのデバイスを追加できます。Duo Security管理者は、Duo Security管理者パネルで[Self-service portal(セルフサービスポータル)]オプションを選択する必要があります。Duo Securityのドキュメントを参照してください。
既存のDuo Securityの登録
- このAuthenticatorを追加し、Authenticator登録ポリシーに含めたユーザーは、Oktaへのサインイン時、またはOktaが保護するアプリへのアクセス時にセキュリティ方式としてDuo Securityを選択できます。
- セキュリティ方式としてDuo Securityを選択する際に、環境でのDuo Securityのデプロイ方法または認証ポリシーの構成方法に応じて追加の検証がユーザーに求められる場合があります。
Cisco Duoアプリでのエンドユーザー設定
Duo Securityをリセットまたは削除するときは、再登録を試みる前にDuo Security管理者パネルで登録を削除する必要があります。
ユーザーがWindowsコンピューターを利用している場合、ユーザーのiOSデバイスのCisco DuoアプリではTouchIDオプションを利用できません。
ユーザーはCisco Duoアプリの[設定]メニューにアクセスして次のオプションを選択できます。
- [Manage Settings & Devices(設定とデバイスの管理)]:Duo Securityのドキュメントを参照してください。
- [Add a new device(新しいデバイスを追加)]:この項目は、Duo Security管理者がDuo Security管理者パネルで[Self-service portal(セルフサービスポータル)]オプションを選択した場合に表示されます。Duo Securityのドキュメントを参照してください。