Okta Verifyオプションの構成

Okta Verifyをオーセンティケーターとして追加した後で、認証時にエンドユーザーがOkta Verifyとやりとりする方法を制御できるオプションを構成します。また、Okta FastPassを有効にすることもできます。

開始する前に

  • プッシュ通知:番号チャレンジをアクティブ化している場合は、ユーザーが番号チャレンジの手順を確認できるようにします。
    • カスタマイズされたサインインウィジェットをorgが使用している場合、ウィジェットのバージョンは3.3.0以降である必要があります。
    • orgが認証APIを直接呼び出している場合は、コードを更新して、番号チャレンジAPIの応答を処理します。「応答の例(3桁の番号検証チャレンジの応答を待機)」を参照してください。
  • エンドユーザーがインターネットとの間のトラフィックを制限するファイアウォールの内側に位置している場合、Okta Verifyのプッシュ通知を受信できない可能性があります。ユーザーがOkta Verifyのプッシュ通知を受信できるようにするには、ファイアウォールのポート5228、5229、5230を開いて、Google Firebase Cloud Messagingとの接続を許可します。GoogleのASN 15169のIPブロックリストに含まれるすべてのIPアドレスへの発信接続をファイアウォールが受け入れることを許可します。
  • FIPS準拠のデバイスへのアクセスを制限する場合:
    • Androidユーザーは、デバイスをFICAM準拠にし、orgにアクセスできるように、デバイスで安全なPINを構成および設定する必要があります。
    • 一部のAndroid OEMのハードウェアはFIPS準拠の認定を受けていないため、AndroidデバイスのFIPS準拠とハードウェアキーストアの使用との間でセキュリティのトレードオフが発生する可能性があります。

このタスクを開始する

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
  2. [Setup(セットアップ)]タブで、Okta Verifyに移動し、[Actions(アクション)]>[Edit(編集)]をクリックします。
  3. [Verification options(検証オプション)]セクションで、認証時にエンドユーザーに対して表示される認証方法を選択します。
    [TOTP(時間ベースのワンタイムパスワード)](デフォルトでオン)(AndroidおよびiOSのみ)ユーザーは、認証の試行時にOkta Verifyによって生成された6桁のコードを入力して、本人確認を行います。
    [Push notification(プッシュ通知)](AndroidおよびiOSのみ)ユーザーは、認証の試行時にモバイルデバイスにプッシュされる通知をタップして、本人確認を行います。

    [Okta FastPass](すべてのプラットフォーム)

    すべてのプラットフォームでOkta FastPassを有効にするには、このオプションを選択します。ユーザーは、アプリにアクセスしようとしたときに表示される[Use Okta Verify on this device(このデバイスでOkta Verifyを使用する)]ボタンをタップまたはクリックして、本人確認を行います。「Okta FastPassを構成する」を参照してください。

    どの検証オプションを選択しても、エンドユーザーはそれらすべてに自動的に登録されます。検証オプションは、アプリの[Account Details(アカウントの詳細)]ページに、[Authentication Code(認証コード)][Push Notification(プッシュ通知)]、および[Okta FastPass]として表示されます。

    エンド・ユーザーをすべての認証方法に自動的に登録しますが、認証時に表示される認証方法を制御できるようにすることによって、後で一部の認証方法を追加または削除する場合のエンド・ユーザー・エクスペリエンスを簡素化できます。

  1. [Okta FastPass (All platforms)(Okta FastPass(すべてのプラットフォーム))]オプションを選択すると、[Okta FastPass]セクションが表示されます。

    [Show the "Sign in with Okta FastPass " button(「Okta FastPassを使用してサインインする」ボタンを表示)]

    Okta Sign-in Widget[Sign in with Okta FastPass(Okta FastPassを使用してサインインする)]ボタンを表示するには、このチェックボックスを選択します。

    このスクリーンショットでは、[Show the Sign in using Okta Verify on this device button(「このデバイスでOkta Verifyを使用してサインインする」ボタンを表示する)]チェックボックスが選択されている場合、ユーザーにOkta Sign-in Widgetがどのように表示されるかを示しています。

    デフォルトでは、このチェックボックスは選択されていません。Okta FastPassが有効になっていても、エンドユーザーはこのサインイン方法が利用可能であることに気付きません。Okta FastPassをユーザーに段階的にデプロイする場合は、このチェックボックスをオフのままにすることを検討してください。

  1. [User Verification(ユーザー検証)]リストで、ユーザーがOkta Verifyで登録や認証を行う際に、生体認証(指紋または顔スキャン)を推奨するか必須にするかを決定するオプションを選択します。

    [Preferred(推奨)]

    ユーザーは、登録時または登録後に生体認証を有効にすることができます。ユーザーは、生体認証機能をサポートしていないデバイスを登録できます。

    [Required(必須)]

    この設定はOkta Verifyのプッシュにのみ適用されます。ユーザーは、登録時に生体認証を有効にする必要があります。ユーザーは、Okta Verifyで生体認証機能をサポートしていないデバイスを使用してサインインしたり、デバイスを登録したりすることはできません。

  1. [Push notification: number challenge(プッシュ通知:番号チャレンジ)]セクションで、Okta Verifyプッシュチャレンジに番号チャレンジを含めるかどうかを選択するオプションを選択します。

    番号チャレンジは、許可されていないユーザーではなく、許可されたユーザーが保護されたアプリにサインインを試行していることを確認するための手法です。サインイン手順で番号を提示し、ユーザーのモバイルデバイスのOkta Verifyに通知をプッシュすることで機能します。ユーザーは、サインイン手順で示されているものと一致する番号をモバイルデバイスのOkta Verifyで選択すると、保護されたアプリにアクセスできるようになります。

    番号チャレンジは、ユーザーがOkta Verifyと、サインイン試行を開始するデバイスの両方を所有していることを確認することでフィッシングを防止するのに役立ちます。

    [Never(行わない)]

    認証試行のリスクレベルに関係なく、ユーザーには番号チャレンジが表示されません。

    [Only for high risk sign-in attempts(高リスクのサインイン試行の場合のみ)]

    Oktaのリスクスコアリング機能を使用して、サインイン試行が高リスクであると評価された場合などに限り、ユーザーに番号チャレンジが提示されるようにこのオプションを構成できます。管理者はサインオンポリシールールの設定を構成する必要があります。下記の「リスクスコアリングについて」 を参照してください。

    [All push challenges(すべてのプッシュチャレンジ)]

    リスクレベルに関係なく、すべてのOkta Verifyプッシュチャレンジでユーザーに番号チャレンジが提示されます。

    [All push challenges(すべてのプッシュチャレンジ)]オプションを選択すると、Okta Identity Engineで作成されたユーザーに対してAndroidバージョン6.1.1向けのOkta Verifyがクラッシュします。こうした場合、ユーザーにはOkta Verifyを最新のバージョンに更新するように推奨してください。

  1. [FIPS Compliance(FIPS準拠)]セクションで、Okta Verifyへの登録を、FIPS準拠のAndroidデバイスまたはiOSデバイスに対してのみ許可するか、すべてのデバイスに対して許可するかを選択します。

    連邦情報処理標準(FIPS)は、政府機関、企業、および組織向けのコンピューターセキュリティガイドラインを確立するために米国連邦政府が開発した一連の技術要件です。

    FIPS標準による安全な相互運用性を確保するため、Okta Verifyでは、すべてのセキュリティ操作に対してFIPS 140-2検証を使用します(このオプションが有効な場合)。また、OktaはFIPSの検証済みベンダーを使用しているため、FedRAMP FICAM要件も満たしています。

    [FIPS compliant devices only(FIPS準拠のデバイスのみ)]

    ユーザーはFIPS準拠のデバイスのみをOkta Verifyに登録できます。

    [Any device(任意のデバイス)]

    ユーザーは任意のデバイスをOkta Verifyに登録できます。

  1. [Save(保存)]をクリックします。

ユーザーエクスペリエンス

[Sign in with Okta FastPass(Okta FastPassを使用してサインインする)]ボタン

ユーザーが[Sign in with Okta FastPass(Okta FastPassを使用してサインインする)]をクリックすると、Okta Verifyを開くように求められます。

このスクリーンショットでは、ユーザーが[Sign in using Okta Verify on this device(このデバイスでOkta Verifyを使用してサインインする)]ボタンをクリックした後のOkta Sign-in Widgetの画面を表示しています。

プッシュ通知:番号チャレンジ

[Only for high risk sign-in attempts(高リスクのサインイン試行の場合のみ)]または[All push challenges(すべてのプッシュチャレンジ)]オプションを選択した場合:

  1. 保護されたリソースにアクセスする際、Okta Verify with Pushに登録されたAndroidまたはiOSユーザーが、サインイン手順で[Get a push notification(プッシュ通知を受け取る)]オプションをクリックします。
  2. サインイン手順で番号が表示されます。
  3. モバイルデバイスで、[Review(確認)]オプション付きの通知がOkta Verifyに表示されます。ユーザーは[Review(確認)]をタップしてから、サインイン手順に示されている番号と一致する番号をデバイスでタップすることで、サインインの試行を検証します。検証は、番号が一致する場合にのみ成功します。これにより、許可されていないユーザーではなく、当該のユーザーによってサインインの試行が開始されたことが保証されます。サインインの試行が発信および実行された場所に関する詳細は、番号の選択肢の下に表示されます。オプションで、[Cancel the sign-in attempt(サインイン試行をキャンセル)]をタップするとサインインの試行を拒否できます。

次のエンドユーザー向けドキュメントを参照してください:「Okta Verifyプッシュ通知を使用したサインイン(iOS)」または「Okta Verifyプッシュ通知を使用したサインイン(Android)」

リスクスコアリングについて

上記の番号チャレンジ機能とOktaのリスクスコアリング機能を組み合わせて、Okta orgへのサインインを保護するセキュリティレベルを上げることができます。Oktaは、デバイスに関する詳細やデバイスの場所など、さまざまな条件に基づいてリスクを評価します。リスクスコアリングを有効にすると、Oktaへのサインインごとにリスクレベルが割り当てられ、管理者は、サインインのリスクレベルに基づいて異なるアクションを実行するサインオンポリシールールを構成することができます(サインインが高リスクと見なされた場合に多要素認証のプロンプトを表示するなど)。手順については、「リスクスコアリング」を参照してください。

既知の制限

  • Okta FastPassとプッシュ通知はiPod Touchデバイスでは使用できません。
  • Apple Watchでは、生体認証による認証はサポートされていません。
  • Androidデバイスの場合、Googleによってクラス3-強に分類された生体認証方法(顔認識および指紋認識)のみがサポートされています。
  • Okta Verifyがワークプロファイルにインストールされている場合、Android 12で生体認証はサポートされません。エンドユーザーに「Keystore not initialized(キーストアが初期化されていません)」というエラーが表示され、生体認証を有効にできません。影響を受けるユーザーのブロックを解除するには、[User Verification(ユーザー検証)][Preferred(推奨)]に設定してから、生体認証の有効化の手順を省略するようにエンドユーザーに伝えてください。
  • プッシュ通知:番号チャレンジは、LDAPiおよびRADIUS環境ではサポートされていません。3桁の番号のチャレンジはOkta Verifyアプリに表示されますが、一致する番号はエンドユーザーのデスクトップブラウザーに表示されません。この場合は、Okta Verify以外のMFAオーセンティケーターを構成します。
  • 検証オプションとしてOkta FastPassを選択する場合、複数のユーザープロファイルを単一のmacOSまたはWindowsデバイスで使用することができません。

次の手順

「Okta Verifyを多要素ポリシーに登録する」の手順に進みます。

関連項目

Okta Verifyオーセンティケーターの構成

認証登録ポリシーを作成する

認証登録ポリシールールの構成