Okta Verifyオプションを構成する
Okta VerifyをAuthenticatorとして追加した後で、登録時または認証時にユーザーがOkta Verifyとやり取りする方法を構成できます。また、Okta FastPassを有効にすることもできます。
開始する前に
- 番号チャレンジを使ったプッシュ通知には、バージョン3.3.0以降のSign-In Widget を使用します。orgが認証APIを直接呼び出している場合は、コードを更新して、番号チャレンジAPIの応答を処理します。「応答の例(3桁の番号検証チャレンジの応答を待機)」を参照してください。
- インターネットとの間のトラフィックを制限するファイアウォールの内側にユーザーが位置している場合、Okta Verifyのプッシュ通知を受信できない可能性があります。Google Firebase Cloud Messagingとの接続が許可されるように、ファイアウォールのポート5228、5229、5230を開いてください。GoogleGoogleのASN 15169のIPブロックリストに含まれるすべてのIPアドレスに対する発信接続を受け入れるようにファイアウォールを構成します。
-
セキュリティ上の理由から、OktaはOkta Verifyとそのエンドポイント間のトラフィックの検査や変更を許可していません。SSLプロキシを使用するときは、組織のデフォルトのOktaドメインを検査から除外します。Oktaドメインは、通常は
*.okta.comまたは*.oktapreview.comです。Oktaドメインの完全なリストについては、Okta IPアドレスへのアクセスを許可するを参照してください。 - 連邦情報処理標準(FIPS)に準拠するデバイスへのアクセスを制限する:Androidユーザーは、デバイスがFICAM(Federal Identity, Credential, and Access Management)に準拠するように、デバイスのセキュアPINを有効にする必要があります。これを行わない場合、orgにはアクセスできません。一部のAndroidハードウェアは、FIPSへの準拠を認定されていません。AndroidFIPS準拠の必要性に対して、ハードウェアキーストアを使用することのセキュリティ上の意味を考慮してください。
このタスクを開始する
-
Admin Consoleで、に移動します。
- 設定(Setup)タブでOkta Verifyに移動し、をクリックします。
- 設定を構成して保存します。
設定(Settings)
| 設定(Settings) | 値 |
|---|---|
|
登録オプション |
Okta Verify登録のセキュリティを構成します。
|
|
検証オプション(Verification options) |
認証時にエンドユーザーに求められる認証方式を選択します。どの認証方法を選択しても、ユーザーはそれらすべてに自動的に登録されます。検証オプションは、Okta Verify アカウントの詳細(Account Details)ページに、認証コード(Authentication Code)、プッシュ通知(Push Notification)、および Okta FastPass として表示されます。
|
|
Okta FastPass |
このセクションは、 Okta FastPass(すべてのプラットフォーム)(All platforms)を選択した場合に表示されます。 「Okta FastPassを使用してサインインする」ボタンを表示(Show the "Sign in with " button):ユーザーがユーザー名を入力する前にSign-In Widget の使用してサインインする(Sign in with)Okta FastPass ボタンを表示するには、このチェックボックスを選択します。 ユーザーにOkta FastPassへの登録を促す場合は、この設定を有効にします。ユーザーにOkta FastPassを段階的にデプロイする場合は、チェックボックスをクリアします。 このチェックボックスは、デフォルトでは選択されていません。 |
|
デバイスパスコードまたは生体認証によるユーザー検証(Device passcode or biometric user verification) |
Okta VerifyまたはOkta FastPassへのユーザーの登録方法を定義します。 ユーザー検証はデバイスモデルとオペレーティングシステムによって異なる場合があります。構成がユーザーエクスペリエンスに与える影響を理解するには、「Okta Verifyユーザー検証設定に基づくユーザーエクスペリエンス」を参照してください。
|
|
プッシュ通知(番号チャレンジ)(Push notification (number challenge)) |
Okta Verifyプッシュ通知に番号チャレンジを含めるかどうかを選択します。
注:
番号チャレンジの設定はorg全体に適用されます。特定のユーザーやグループに対して有効化または無効化することはできません。 番号チャレンジは、Oktaが保護するアプリへのサインイン試行が、権限のない人物からのものではなく、意図されたユーザーからのものであることを検証します。番号チャレンジでは、番号はSign-In Widgetに提示され、通知はユーザーのモバイルデバイスのSign-In Widget にプッシュされます。Okta Verifyユーザーは、Sign-In Widgetに提示された番号と一致する番号を選択します。Sign-In Widget 選択が正しければ、ユーザーは保護されているアプリにアクセスできます。 番号チャレンジは、ユーザーがOkta Verifyと、サインインを試みたデバイスの両方を所有していることを確認することでフィッシング攻撃を防止するのに役立ちます。番号一致は、パスキー(FIDO2 WebAuthn)やOkta FastPassなどのフィッシング耐性のあるMFA要素ほど強力ではありません。 「Okta Verify Push通知を使用したサインイン(iOS)」または「Okta Verify Push通知を使用したサインイン(Android)」を参照してください。 |
|
FIPS準拠(FIPS Compliance) |
Okta Verify登録をFIPS準拠のAndroidまたはiOSデバイスに制限します。AndroidiOS このオプションを有効にした場合、Okta Verifyはすべてのセキュリティ操作にFIPS 140-2検証を使用します。また、OktaはFIPSの検証済みベンダーを使用しているため、FedRAMP FICAM要件も満たしています。
|
Oktaリスクスコアリングについて
番号チャレンジとOktaのリスクスコアリングを組み合わせることで、Okta orgへのサインインフローのセキュリティを向上させることができます。
Oktaは、デバイスの詳細やデバイスの場所など、複数の条件に基づいてリスクを評価します。
有効化すると、リスクスコアリングはOktaへのサインインの試行ごとにリスクレベルを割り当てます。管理者はサインオンポリシールールを構成し、サインイン試行のリスクレベルに応じて異なる措置を取ることができます。たとえば、サインイン試行が高リスクと考えられる場合は、ユーザーに多要素認証を要求します。手順については、リスクスコアリング(Risk Scoring)を参照してください。
既知の制限
-
Apple Watchでは、生体認証による認証はサポートされません。
-
Androidデバイスの場合、Googleによってクラス3-強に分類された生体認証方法(顔認識および指紋認識)のみがサポートされています。Android
-
Androidがワークプロファイルにインストールされている場合、Android 12で生体認証はサポートされません。Okta Verifyユーザーにキーストアが初期化されていません(Keystore not initialized)というエラーが表示され、生体認証を有効にできません。影響を受けるユーザーのブロックを解除するには、ユーザー検証(User verification)を推奨(Preferred)に設定してから、生体認証の有効化の手順を省略するようにユーザーに伝えてください。
-
LDAPiおよびRADIUS統合では、番号チャレンジを伴うプッシュ通知はサポートされません。この場合は、Okta Verify以外のMFA Authenticatorを構成します。
-
ループバック(localhost)に対してHSTS(HTTP Strict Transport Security)が有効になっている場合、Okta Verify認証は正しく機能しません。ウェブサイトの開発、ホスティング、デバッグをローカルで行うユーザーの多くは、このオプションを有効にします。セキュリティ上の理由から組織がHSTSを必須としないときは、HSTSを必須とするドメインのリストからOkta URLを削除するようユーザーに伝えてください。ブラウザーのドキュメントで手順を確認し、それをユーザーと共有します。
次の手順
「認証登録ポリシーにOkta Verifyを登録する」の手順に進みます。
関連項目