Okta Verifyオプションの構成

Okta Verifyには、認証時にエンド・ユーザーがOkta Verifyとやりとりする方法を制御できるオプションがいくつか用意されています。

注

これらのオプションは、Okta Verify以降を追加する際に編集することで構成できます。わかりやすくするため、これらの手順ではOkta Verifyの編集中にオプションを構成することを前提としています。

Okta FastPassサインイン・ページのオプション

サインイン・ページで[このデバイスでOkta Verifyを使用してサインインする]ボタンの表示と非表示を切り替えることができます。こちらは、パスワードなしでアクセスできるようにアプリのサインオン・ポリシーを構成しながら、Okta FastPassをユーザーに公開するタイミングを制御する必要がある場合に便利です。Okta FastPassを有効にするを参照してください。

デフォルトでは、 「[このデバイスでOkta Verifyを使用してサインインする]ボタンを表示」が選択されています。
Okta FastPassのサイレント・フローに障害が発生した場合、ユーザーは[Okta FastPassを使用してサインインする]をクリックして認証できるため、サインイン・ウィジェットにボタンが表示されていると便利です。資格情報を入力する必要がないため、ユーザーは時間を節約できます。

The screenshot shows the Show the "Sign in using Okta Verify on this device" button checkbox.

「[このデバイスでOkta Verifyを使用してサインインする]ボタンを表示」チェック・ボックスをオフにすると、エンド・ユーザーに[Okta FastPassを使用してサインインする]オプションが表示されなくなります。このチェック・ボックスをオフにしても、Okta FastPassは無効になりません。こちらは、Okta FastPassをユーザーに対して時間をかけてロールアウトする場合に便利です。[Okta FastPassを使用してサインインする]ボタンが表示されるまで、ユーザーは Okta FastPassの方法を認識できません。

サインイン・ウィジェットは、Okta VerifyオーセンティケーターでのOkta FastPassサインイン・オプションの構成方法に応じて、ユーザーに対して異なる方法で表示されます。

Okta VerifyのOkta FastPassサインイン・ページ・オプション

ユーザーに対して表示されるサインイン・ウィジェット

追加情報

チェック・ボックス「[このデバイスでOkta Verifyを使用してサインインする]ボタンを表示」が選択されている。

The screenshot shows how the Sign-In Widget appears to users when the Show the "Sign in using Okta Verify on this device" button checkbox is selected.

The screenshot shows how the Sign-In Widget appears after a user clicks the "Sign in using Okta Verify on this device" button.

[Okta FastPassを使用してサインインする]をクリックすると、ユーザーにこの画面が表示されます。

チェック・ボックス「[このデバイスでOkta Verifyを使用してサインインする]ボタンを表示」がオフになっている。

The screenshot shows how the Sign-In Widget appears to users when the Show the "Sign in using Okta Verify on this device" button checkbox is not selected.

このサインイン・ウィジェットに[Okta FastPassを使用してサインインする] ボタンが含まれていないことに注意してください。

n/a

検証オプション

検証オプションを使用すると、認証時にエンド・ユーザーに対して表示される認証方法を制御できます。

どの検証オプションを選択しても、エンド・ユーザーはすべての認証方法に自動的に登録され、Okta Verifyアプリの[アカウントの詳細]ページにすべての認証方法が[認証コード][プッシュ通知][このデバイス]として表示されます。エンド・ユーザーをすべての認証方法に自動的に登録しますが、認証時に表示される認証方法を制御できるようにすることによって、後で一部の認証方法を追加または削除する場合のエンド・ユーザー・エクスペリエンスを簡素化できます。

このタスクを開始する

  1. 管理コンソールで、[セキュリティー] > に移動します [オーセンティケーター]
  2. [セットアップ]タブで、Okta Verifyに移動し、[アクション] > [編集]をクリックします。
  3. [検証オプション]で、Okta Verifyを使用してユーザーが本人確認を行うための方法を選択します。
    • TOTP(デフォルトでオン、AndroidおよびiOSのみ):ユーザーは、認証の試行時にOkta Verifyによって生成された6桁のコードを入力して、本人確認を行います。
    • プッシュ通知(AndroidおよびiOSのみ):ユーザーは、認証の試行時にモバイル・デバイスにプッシュされる通知をタップして、本人確認を行います。
    • Okta FastPass:ユーザーは、アプリにアクセスしようとしたときに表示される[このデバイスでOkta Verifyを使用する]ボタンをタップまたはクリックして、本人確認を行います。Okta FastPassを構成する を参照してください。
      注

      プッシュ通知とFastPassはiPod Touchデバイスでは使用できません。

      注

      検証オプションとしてOkta FastPassを選択する場合、現在は複数のユーザー・プロファイルを単一のmacOSまたはWindowsデバイスで使用することができません。

  1. [保存]をクリックします。

ユーザー検証

ユーザーがOkta Verifyで登録や認証を行う際に、生体認証(指紋または顔スキャン)やWindows Hello PINを推奨するか必須にするかを選択します。

このタスクを開始する

  1. 管理コンソールで、[セキュリティー] > に移動します [オーセンティケーター]
  2. [セットアップ]タブで、Okta Verifyに移動し、[アクション] > [編集]をクリックします。
  3. [ユーザー検証]で、オプションを選択します:
    • 推奨(すべてのプラットフォームでのデフォルト):ユーザーは、セットアップ中またはセットアップ後にアプリで生体認証(またはWindowsユーザーの場合はWindows Hello)を有効にできます。
    • 必須:ユーザーは、セットアップ中に生体認証(またはWindowsユーザーの場合はWindows Hello)を有効にする必要があります。ユーザーが生体認証(あるいはWindows Hello PIN)を使用せずにOkta Verifyでサインインまたは登録を行うことはできません。
注

Apple Watchでは、生体認証による認証はサポートされていません。

注

Androidデバイスの場合、Googleによってクラス3-強に分類された生体認証方法(顔認識および指紋認識)のみがサポートされています。

  1. [保存]をクリックします。

プッシュ通知:番号チャレンジ

番号チャレンジは、許可されていないユーザーではなく、許可されたユーザーが保護されたアプリにサインインを試行していることを確認するための手法です。サインイン手順で番号を提示し、ユーザーのモバイル・デバイスのOkta Verifyに通知をプッシュすることで機能します。ユーザーは、サインイン手順で示されているものと一致する番号をモバイル・デバイスのOkta Verifyで選択すると、保護されたアプリにアクセスできるようになります。

この手法によって、Okta Verify with Pushに登録されたAndroidおよびiOSユーザーが保護されたアプリにアクセスしようとしたときに、不正なプッシュ通知を受信しないようにすることができます。

注

この手順では、Okta Verifyの編集中にこれらの設定を構成することを前提としています。

エンド・ユーザー・エクスペリエンス

ユーザーに対して番号チャレンジを提示するように機能を設定した場合:

  1. 保護されたリソースにアクセスする際、Okta Verify with Pushに登録されたAndroidまたはiOSユーザーが、サインイン手順で[プッシュ通知を受け取る]オプションをクリックします。
  2. サインイン手順で番号が表示されます。
  3. モバイル・デバイスで、[確認]オプション付きの通知がOkta Verifyに表示されます。ユーザーは[確認]をタップしてから、サインイン手順に示されている番号と一致する番号をタップすることで、サインインの試行を検証します。検証は、番号が一致する場合にのみ成功します。これにより、許可されていないユーザーではなく、当該のユーザーによってサインインの試行が開始されたことが保証されます。サインインの試行が発信および実行された場所に関する詳細は、番号の選択肢の下に表示されます。オプションで、[サインイン試行をキャンセル]をタップするとサインインの試行を拒否できます。

次のエンド・ユーザー向けドキュメントを参照してください: 「Okta Verifyプッシュ通知を使用したサインイン(iOS)」 または「Okta Verifyプッシュ通知を使用したサインイン(Android)」

開始する前に

  • この機能はLDAPiおよびRADIUS環境ではサポートされていません。3桁の番号のチャレンジはOkta Verifyアプリに表示されますが、一致する番号はエンド・ユーザーのデスクトップ・ブラウザーに表示されません。この場合は、Okta Verify以外の多要素認証要素を構成します。
  • エンド・ユーザーがインターネットとの間のトラフィックを制限するファイアウォールの内側に位置している場合、Okta Verifyのプッシュ通知を受信できない可能性があります。ユーザーがOkta Verifyのプッシュ通知を受信できるようにするには、ファイアウォールのポート5228、5229、5230を開いて、Google Firebase Cloud Messagingとの接続を許可します。GoogleのASN 15169のIPブロック・リストに含まれるすべてのIPアドレスへの発信接続をファイアウォールが受け入れることを許可します。
  • [すべてのプッシュ・チャレンジ]で番号チャレンジを提示するオプションを選択すると、Identity Engineで作成されたユーザーに対してAndroidバージョン6.1.1向けのOkta Verifyがクラッシュします。こうした場合、ユーザーにはOkta Verifyを最新のバージョンに更新するように推奨してください。
  • ユーザーが番号チャレンジの手順を確認できるようにします:
    • カスタマイズされたサインイン・ウィジェットを組織が使用している場合、ウィジェットのバージョンは3.3.0以降である必要があります。
    • 組織が認証APIを直接呼び出している場合は、コードを更新して、番号チャレンジAPIの応答を処理します。「応答の例(3桁の番号検証チャレンジの応答を待機)」を参照してください。

このタスクを開始する

  1. 管理コンソールで、[セキュリティー] > に移動します [オーセンティケーター]
  2. [セットアップ]タブで、Okta Verifyに移動し、[アクション] > [編集]をクリックします。
  3. [番号チャレンジ]で、ユーザーに対して番号一致チャレンジのプロンプトを表示するタイミングを選択します:
    • [行わない]:(デフォルト設定)認証試行のリスク・レベルに関係なく、ユーザーには番号チャレンジが表示されません。
    • [高リスクのサインイン試行の場合のみ]:Oktaのリスク・スコアリング機能を使用して、サインイン試行が高リスクであると評価された場合などに限り、ユーザーに番号チャレンジが提示されるようにこのオプションを構成できます。管理者はサインオン・ポリシー・ルールの設定を構成する必要があります。下記の を参照してください。
    • [すべてのプッシュ・チャレンジ]:リスク・レベルに関係なく、すべてのOkta Verifyプッシュ・チャレンジでユーザーに番号チャレンジが提示されます。
      注

      Androidのみ。[すべてのプッシュ・チャレンジ]で番号チャレンジを提示するオプションを選択すると、Identity Engineで作成されたユーザーに対してAndroidバージョン6.1.1向けのOkta Verifyがクラッシュします。こうした場合、ユーザーにはOkta Verifyを最新のバージョンに更新するように推奨してください。

  1. [保存]をクリックします。

リスク・スコアリングについて

上記の番号チャレンジ機能とOktaのリスク・スコアリング機能を組み合わせて、Okta組織へのサインインを保護するセキュリティー・レベルを上げることができます。Oktaは、デバイスに関する詳細やデバイスの場所など、さまざまな条件に基づいてリスクを評価します。リスク・スコアリングを有効にすると、Oktaへのサインインごとにリスク・レベルが割り当てられ、管理者は、サインインのリスク・レベルに基づいて異なるアクションを実行するサインオン・ポリシー・ルールを構成することができます(サインインが高リスクと見なされた場合に多要素認証のプロンプトを表示するなど)。手順については、「リスク・スコアリング」を参照してください。

FIPS準拠

このオプションでは、あらゆるAndroidまたはiOSデバイスのOkta Verifyへの登録を許可するか、FIPS準拠のデバイスのみを許可するかを選択できます。

連邦情報処理標準(FIPS)は、政府機関、企業、および組織向けのコンピューター・セキュリティー・ガイドラインを確立するために米国連邦政府が開発した一連の技術要件です。

FIPS標準による安全な相互運用性を確保するため、Okta Verifyでは、すべてのセキュリティー操作に対してFIPS 140-2検証を使用します(このオプションが有効な場合)。OktaはFIPSの検証済みベンダーを使用しているため、FedRAMP FICAM要件も満たしています。

注

Androidデバイスに関する注意事項

  • このオプションを有効にすると、エンド・ユーザーがデバイスでセキュアPINを構成および設定した場合にのみ、AndroidデバイスがFICAMに準拠するようになります。
  • 一部のAndroid OEMのハードウェアはFIPS認定を受けていないため、AndroidデバイスのFIPS準拠とハードウェア・キーストアの使用との間でセキュリティーのトレードオフが発生する可能性があります。

このタスクを開始する

  1. 管理コンソールで、[セキュリティー] > に移動します [オーセンティケーター]
  2. [セットアップ]タブで、Okta Verifyに移動し、[アクション] > [編集]をクリックします。
  3. [FIPS準拠]までスクロールします。
  4. [Okta Verifyに登録しているユーザーは次を使用できます。]で、次のオプションを選択します:
    • FIPS準拠のデバイスのみ
    • 任意のデバイス
  1. [保存]をクリックします。

関連項目

オーセンティケーターの追加

多要素認証登録ポリシーの作成

多要素認証登録ポリシー・ルールの構成