Okta Verifyオプションの構成

Okta VerifyをAuthenticatorとして追加した後で、登録時または認証時にユーザーがOkta Verifyとやりとりする方法を構成します。Okta FastPassを使ったパスワードなし認証を有効化することもできます。

はじめに

  • 番号チャレンジを使ってプッシュ通知をアクティブ化する場合は、バージョン3.3.0以降のSign-In Widgetを使用します。orgが認証APIを直接呼び出す場合は、コードを更新して番号チャレンジAPIの応答を処理します。「応答の例(3桁の番号検証チャレンジの応答を待機)」を参照してください。
  • インターネットとの間のトラフィックを制限するファイアウォールの内側にユーザーが位置している場合、Okta Verifyのプッシュ通知を受信できない可能性があります。Google Firebase Cloud Messagingとの接続が許可されるように、ファイアウォールのポート5228、5229、5230を開いてください。GoogleのASN 15169のIPブロックリストに含まれるすべてのIPアドレスに対する発信接続を受け入れるようにファイアウォールを構成します。
  • セキュリティ上の理由から、OktaOkta Verifyとそのエンドポイント間のトラフィックの検査や変更を許可していません。SSLプロキシを使用するときは、組織のデフォルトのOktaドメインを検査から除外します。Oktaドメインは、通常は*.okta.comまたは*.oktapreview.comです。Oktaドメインの完全なリストについては、「Okta IPアドレスへのアクセスを許可する」を参照してください。
  • FIPS(連邦情報処理標準)に準拠するデバイスへのアクセスを制限する場合、Androidユーザーは、デバイスがFICAM(Federal Identity, Credential, and Access Management)に準拠するように、デバイスのセキュアPINを有効にする必要があります。これを行わない場合、orgにはアクセスできません。一部のAndroidハードウェアは、FIPSへの準拠を認定されていません。FIPS準拠の必要性に対して、ハードウェアキーストアを使用することのセキュリティ上の意味を考慮してください。

このタスクを開始する

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [Settings(設定)]タブでOkta Verifyに移動し、[Actions(アクション)] [Edit(編集)]をクリックします。
  3. 設定を構成して保存します。

Settings(設定)

Settings(設定)
登録オプション Okta Verify登録のセキュリティを構成します。
  • [Higher security methods(より高いセキュリティ メソッド)]:このオプションを選択すると、ユーザーが登録に利用できる方式は以下のみとなります。

    • [Same device(同一デバイス)]:ユーザーは、組織のサインインURLを提供することでアプリ内でOkta Verify登録を開始および完了します。

    • [Device-to-device bootstrap(デバイスツーデバイスブートストラップ)]:ユーザーは、Bluetoothを使って既存のOkta Verifyアカウントを別のモバイルまたはデスクトップデバイスに追加できます。

  • [Any method(任意の方式)]:このオプションを選択すると、ユーザーは次のどのセキュリティ メソッドでも登録できます。

    • [QR code in browser(ブラウザー内のQRコード)]:ユーザーは、ブラウザーでQRコードをスキャンしてモバイルデバイスでOkta Verifyに登録します。

    • [SMS or email link(SMSまたはメールのリンク)]:ユーザーは、SMSまたはメールで送信されるリンクをクリックすることでOkta Verifyに登録します。

    • [Same device(同一デバイス)]:ユーザーは、組織のサインインURLを提供することでアプリ内でOkta Verify登録を開始および完了します。

    • [Device-to-device bootstrap(デバイスツーデバイスブートストラップ)]:ユーザーは、Bluetoothを使って既存のOkta Verifyアカウントを別のモバイルまたはデスクトップデバイスに追加できます。

検証オプション 認証時にエンドユーザーに表示される認証方式を選択します。どの検証オプションを選択しても、ユーザーはそれらすべてに自動的に登録されます。検証オプションは、[Authentication Code(認証コード)][Push Notification(プッシュ通知)][Okta FastPass]として[Okta Verify Account Details(Okta Verifyアカウントの詳細)]ページに表示されます。
  • [TOTP (on by default) (Android and iOS only)(TOTP(デフォルトでオン)(AndroidおよびiOSのみ))]:ユーザーは、Okta Verifyが生成する6桁のコードを入力して認証を行います。

  • [Push notification (Android and iOS only)(プッシュ通知(AndroidおよびiOSのみ))]:ユーザーは、モバイルデバイスにプッシュされる通知をタップして認証を行います。

  • Okta FastPass (All platforms)(Okta FastPass(すべてのプラットフォーム))Okta FastPassを有効化します。ユーザーは、[Use Okta FastPass(Okta FastPassを使用する)]をタップまたはクリックして認証を行います。「Okta FastPassを有効にする」を参照してください。

Okta FastPass このセクションは、[Okta FastPass (All platforms)(Okta FastPass(すべてのプラットフォーム))]を選択した場合に表示されます。

Show the "Sign in with Okta FastPass" button([Sign in with Okta FastPass]ボタンを表示する)Sign-In Widget[Sign in with Okta FastPass(Okta FastPassでサインインする)]ボタンを表示するには、このチェックボックスを選択します。このチェックボックスは、デフォルトでは選択されていません。このオプションを選択しない場合、Okta FastPassが有効でもこのサインイン方式はユーザーに表示されません。Okta FastPassを段階的にユーザーにデプロイする場合は、このチェックボックスをオフのままにします。

ユーザー検証 Okta Verifyを使った認証でユーザーが生体認証を提供する必要がある場合に選択します。生体認証を設定すると、ユーザーはサインオンポリシーに応じてOkta Verifyプッシュ通知またはOkta FastPassでサインインするたびに生体認証を求められるようになります。
  • [Preferred(推奨)]:ユーザーは、登録時または登録後にOkta Verifyの [Account details(アカウントの詳細)]ページから生体認証を有効にすることができます。

  • [Required(必須)]:新規ユーザーは、Okta Verifyに登録するときに生体認証を設定するよう求められます。デバイスで生体認証がサポートされない場合、ユーザーは登録できません。この手順をスキップした登録済みユーザーは、登録済みデバイスのOkta Verifyを使って次回サインインを試みたときに生体認証を有効にするよう求められます。

早期アクセスリリース

Admin Consoleで、[Settings(設定)] [Features(機能)]に移動します。トグルをクリックして[Okta Verify user verification(パスコードによるOkta Verifyユーザー検証)]を有効にします。この機能を使用すると、ユーザーは生体認証に加えてPINまたはパスコード検証(知識要素タイプ)でデバイスを登録できます。ユーザー検証はデバイスモデルとオペレーティングシステムによって異なる場合があります。構成がユーザーエクスペリエンスに与える影響を理解するには、「Okta Verifyユーザー検証設定」を参照してください。この機能を有効にすると、以下のユーザー検証オプションを選択できるようになります。
  • [Preferred(推奨)]:ユーザーは、登録時または登録後にデバイスパスコードまたは生体認証確認を有効にすることができます。ユーザーは、生体認証機能をサポートしないデバイスを登録できます。

  • [Required(必須)]:新規ユーザーは、Okta Verifyに登録するときにデバイスパスコードまたは生体認証を設定するよう求められます。デバイスで生体認証がサポートされない場合、ユーザーは代わりにデバイスパスコードを有効にすることができます。この手順をスキップした登録済みユーザーは、登録済みデバイスのOkta Verifyを使って次回サインインを試みたときにデバイスパスコードまたは生体認証を有効にするよう求められます。

  • [Required with biometrics only(生体認証でのみ必須)]:新規ユーザーは、Okta Verifyに登録するときに生体認証を設定するよう求められます。デバイスで生体認証がサポートされない場合、ユーザーはOkta Verifyに登録することも、Okta Verifyを使って認証することもできません。この手順をスキップした登録済みユーザーは、登録済みデバイスのOkta Verifyを使って次回サインインを試みたときに生体認証を有効にするよう求められます。

プッシュ通知(番号チャレンジ) Okta Verifyプッシュ通知に番号チャレンジを含めるかどうかを選択します。番号チャレンジは、Oktaが保護するアプリへのサインイン試行が、権限のない人物からのものではなく、意図されたユーザーからのものであることを検証します。番号チャレンジでは、番号はSign-In Widgetに提示され、通知はユーザーのモバイルデバイスのOkta Verifyにプッシュされます。ユーザーは、Sign-In Widgetに提示された番号と一致する番号を選択します。選択が正しければ、ユーザーは保護されたアプリにアクセスできます。番号チャレンジは、ユーザーがOkta Verifyと、サインイン試行を開始するデバイスの両方を所有していることを確認することでフィッシングを防止するのに役立ちます。次のエンドユーザー向けドキュメントを参照してください:「Okta Verify Push通知を使用したサインイン(iOS)」または「Okta Verify Push通知を使用したサインイン(Android)」
  • [Never(使用しない)]:認証試行のリスクレベルに関係なく、ユーザーは番号チャレンジを受信しません。

  • [Only for high risk sign-in attempts(高リスクのサインイン試行に対してのみ)]: ユーザーは、サインイン試行が高リスクと評価される場合にのみ番号チャレンジを受信します。管理者はサインオンポリシールールを構成する必要があります。「リスクスコアリングについて」を参照してください。

  • [All push challenges(すべてのプッシュチャレンジ)]:ユーザーは、リスクレベルに関係なく、すべてのOkta Verifyプッシュ通知で番号チャレンジを受信します。

FIPS準拠 Okta Verify登録をFIPS準拠のAndroidまたはiOSデバイスに制限します。このオプションを有効にした場合、Okta Verifyはすべてのセキュリティ操作にFIPS 140-2検証を使用します。OktaはFIPS検証済みベンダーを利用しているため、FedRAMP FICAM要件も満たしています。
  • [FIPS compliant devices only(FIPS準拠デバイスのみ)]:ユーザーは、Okta VerifyにFIPS準拠デバイスのみを登録できます。

  • [Any device(任意のデバイス)]:ユーザーは、Okta Verifyに任意のデバイスを登録できます。

リスクスコアリングについて

番号チャレンジとOktaのリスクスコアリングを組み合わせることで、Okta orgへのサインインのセキュリティを向上させることができます。Oktaは、デバイスの詳細やデバイスの場所など、複数の条件に基づいてリスクを評価します。リスクスコアリングを有効にすると、Oktaへのサインインのたびにリスクレベルが割り当てられ、管理者は、サインインのリスクレベルに基づいて異なるアクションを実行するサインオンポリシールールを構成することができます(サインインが高リスクと見なされた場合に多要素認証のプロンプトを表示するなど)。手順については、「リスクスコアリング」を参照してください。

既知の制限

  • Apple Watchでは、生体認証による認証はサポートされません。
  • Androidデバイスの場合、Googleによってクラス3-強に分類された生体認証方法(顔認識および指紋認識)のみがサポートされています。
  • Okta Verifyがワークプロファイルにインストールされている場合、Android 12で生体認証はサポートされません。エンドユーザーに「Keystore not initialized(キーストアが初期化されていません)」というエラーが表示され、生体認証を有効にできません。影響を受けるユーザーのブロックを解除するには、[User Verification(ユーザー検証)][Preferred(推奨)]に設定してから、生体認証の有効化の手順を省略するようにエンドユーザーに伝えてください。
  • プッシュ通知:番号チャレンジは、LDAPiおよびRADIUS環境ではサポートされていません。3桁の番号のチャレンジはOkta Verifyアプリに表示されますが、一致する番号はエンドユーザーのデスクトップブラウザーに表示されません。この場合は、Okta Verify以外のMFA Authenticatorを構成します。
  • ループバック(localhost)に対してHSTS(HTTP Strict Transport Security)が有効になっている場合、Okta Verify認証は正しく機能しません。ウェブサイトの開発、ホスティング、デバッグをローカルで行うユーザーの多くは、このオプションを有効にします。セキュリティ上の理由からOrganizationがHSTSを必要としない場合は、HSTSを必要とするドメインのリストからOkta URLを削除するようユーザーにアドバイスしてください。ブラウザーのドキュメントで手順を確認し、それをユーザーと共有します。

次の手順

認証登録ポリシーにOkta Verifyを登録する」の手順に進みます。

関連項目

Okta Verify Authenticatorの構成

Authenticator登録ポリシーを作成する

Authenticator登録ポリシールールを構成する