電話認証

Oktaでの電話認証の使用について説明します。

要素タイプ 所有
方式の特徴

ユーザーの存在

説明 SMSおよび通話のAuthenticatorでは電話を使用する必要があります。テキストメッセージまたは通話で送られたコードを、Oktaのプロンプトにユーザーが入力します。

電話Authenticatorを使用すると、ユーザーはSMSメッセージまたは通話として電話に配信されるワンタイムパスコード(OTP)を使用して、自分自身を認証できます。また、ユーザーは自分のデバイスを登録してアカウントの復旧を開始することもできます。

はじめに

この手順を開始する

まずテレフォニーインラインフックを追加し、それをテストしてから電話認証機を追加して、電話Authenticatorをセットアップします。

テレフォニーインラインフックの追加

外部テレフォニーサービスを構成した後で、テレフォニーインラインフックを追加することによりOktaと接続します。

  1. Admin Consoleで、[Workflow(ワークフロー)][Inline Hooks(インラインフック)]の順に移動します。
  2. [Add Inline Hook(インラインフックの追加)]をクリックし、[Telephony(テレフォニー)]を選択します。
  3. テレフォニープロバイダーのインラインフックに対してわかりやすい名前を入力します。
  4. ワンタイムパスコード(OTP)をエンドユーザーデバイスに送信するエンドポイントを含む、外部サービスURLを追加します。
  5. 任意。[Authentication field(認証フィールド)]ヘッダーフィールドの値を指定します。
  6. 任意。[Authentication secret(認証シークレット)]ヘッダーフィールドの値を指定します。

    外部サービスは、認証シークレットを使用して、リクエストがサービスに対するOktaリクエストであることを検証する必要があります。

  7. [Save(保存)]をクリックして、インラインフックをアクティブにします。

テレフォニーインラインフックをテストする

サービスプロバイダーのテレフォニーフックを構成したら、[Preview(プレビュー)]アクションを使用してその動作をテストできます。

テレフォニーサービスプロバイダーへの接続をテストするには:

  1. Admin Consoleで、[Workflow(ワークフロー)][Inline Hooks(インラインフック)]の順に移動します。

  2. アクティブであるテレフォニーインラインフックを特定します。

  3. [Actions(アクション)]をクリックし、[Preview(プレビュー)]を選択します。

  4. 有効なAuthenticatorとして電話が設定されているユーザーのユーザープロファイルを選択します。

  5. テストするSMSテキストメッセージまたは通話を発生させるイベントを選択します。

    たとえば、次のイベントアクションのいずれかを選択します。

    • MFAの登録

    • MFAの検証

    • アカウントのロック解除

    • パスワードリセット

  6. [Generate Request(リクエストを生成)]をクリックして、テレフォニープロバイダーに送信するHTTPリクエストを生成します。

    必要に応じて、[Edit(編集)]をクリックして、生成されたリクエストを編集できます。たとえば、プロファイルを編集して、テスト目的で使用する電話番号にテキストメッセージを送信することができます。

  7. [View Response(応答を表示)]をクリックして、サービスプロバイダーからの応答を表示します。

電話をAuthenticatorとして追加する

テレフォニーインラインフックを構成してテストした後、それを使用して電話Authenticatorを構成します。

  1. Admin Consoleで、[Security(セキュリティ)][Authenticator]に移動します。
  2. [Setup(設定)]タブで、[Add Authenticator(Authenticatorを追加)]をクリックします。
  3. [Phone(電話)]タイルで[Add(追加)]をクリックします。[Add Phone(電話の追加)] ウィンドウが表示されます。
  4. [User can verify with(ユーザーは次で検証可能)]セクションで、ユーザーが検証できる方法を選択します。通話[SMS]または両方を選択できます。
  5. [This authenticator can be used for(このAuthenticatorは以下に使用可能)]セクションで、電話Authenticatorを使用するアクションを選択します。
    • [Authentication and recovery(認証と復旧)]:このオプションは、ユーザーがこのAuthenticatorを使用して自分自身を認証し、アカウントを復旧できるようにします。
    • [Recovery(復旧)]:このオプションは、ユーザーがアカウントを復旧するためだけにこのAuthenticatorを使用できるようにします。このオプションを選択した場合は、グローバルセッションポリシーの評価中にOktaが認証を要求することはありません。
  6. [Add(追加)]をクリックします。

エンドユーザーエクスペリエンス

Oktaに初めてサインインするユーザーには、追加の検証が必要であることが表示されます。ユーザーが電話Authenticatorを選択するときは、電話番号を入力し、利用可能にしたオプションに応じて[SMS]または通話を選択します。電話番号を確認した後は、Authenticatorのセットアップ方法に応じて、その電話番号を認証と復旧に使用することも、復旧のみに使用することもできます。

ユーザーが[SMS]を選択した場合、ユーザーは携帯電話番号のみを指定できます。通話の場合、携帯電話番号または内線付きの電話番号を指定できます。

フリーダイヤル、プレミアム、または無効な電話番号は、多要素認証またはデバイス登録には使用できません。このような電話番号は拒否されます。

試行回数が多すぎる

Oktaはレート制限を使用して、SMSAuthenticatorに対する総当たり攻撃から保護します。誤った資格情報を複数回入力した後、ユーザーに次のメッセージが表示されます:「Too many attempts.(試行回数が多すぎます。)Try again later.(後で再度試みてください。)」この場合、アカウントにアクセスするには、別のAuthenticatorを使用する必要があります。ユーザーに複数のAuthenticatorをセットアップして、代替手段を確実に提供できるようにします。

電話番号の変更

ユーザーが電話番号を変更しながらOktaでは更新していない場合、通話とSMSはユーザーの古い電話番号に送信されます。この場合は、検証を完了できません。[Sign-In Widget]で[Sign in with something else(他の方法でサインインする)]をクリックし、別のAuthenticatorで認証してください。次に、エンドユーザーダッシュボードで別の電話番号を追加し、古い電話番号を新しい電話番号に置き換える必要があります。

エンドユーザーのタスク

エンド ユーザーは次のタスクを実行して、電話を登録し、この電話をサインインに使用し、アカウントに別の電話番号を追加します。

電話Authenticatorを初めてセットアップする

  1. [Sign-In Widget(サインインウィジェット)]>[Set up security methods(セキリティメソッドのセットアップ)][Phone(電話)]で、[Setup(セットアップ)]をクリックします。
  2. [SMS]または通話を選択します。[SMS]を選択した場合、携帯電話番号のみを指定できます。
  3. [Country(国)]ドロップダウンリストで、電話番号の国を選択します。
  4. [Phone number(電話番号)]フィールドに電話番号を入力します。国コードを含めず、ダッシュを省略し、国の電話システムで先頭にゼロが使用されている場合はそのゼロを省略します。
  5. 通話を選択し、電話番号に内線番号が含まれている場合は、[Extension(内線)]フィールドに入力します。
  6. [Receive a code via SMS(SMSでコードを受信)]または[Receive a code via voice call(通話でコードを受信)]をクリックします。選択したオプションに応じて、SMSまたは通話のいずれかでコードを受信します。
  7. [Enter Code(コードを入力)]フィールドにコードを入力します。
  8. [Verify(確認)]をクリックします。

電話をサインインに使用する

  1. orgのサインインページに移動します。ユーザー名と、Sign-In Widgetによって要求されるその他の資格情報(パスワードなど)を入力します。
  2. 利用可能なセキュリティ メソッドの一覧が表示されたページで、[Phone(電話)]オプションの横にある[Select(選択)]をクリックします。
  3. SMSメッセージでコードを受信するには、[Receive a code via SMS(SMSでコードを受信)]をクリックします。通話でコードを受信するには、[Receive a voice call instead(代わりに通話を受信)]をクリックします。
  4. OktaがSMSメッセージを送信するか、ユーザーの電話に電話をかけると、Okta Sign-in Widget[Enter Code(コードを入力)]フィールドが表示されます。
  5. SMSメッセージまたは通話で提供されたコードを[Enter Code(コードを入力)]フィールドに入力します。
  6. [Verify(確認)]をクリックします。

別の電話番号を追加する

サインイン後、ユーザーは自分のプロファイルに別の電話番号を追加できます。

  1. Okta End-User Dashboardで、右上隅にあるユーザー名をクリックします。
  2. [My Settings(設定)]を選択します。
  3. [Security Methods(セキュリティ メソッド)]セクションで、[Phone(電話)]の横にある[他のセットアップ]をクリックします。
  4. [Setup(セットアップ)]をクリックします。
  5. [SMS]または通話を選択します。[SMS]を選択した場合、携帯電話番号のみを指定できます。
  6. [Country(国)]ドロップダウンリストで、電話番号の国を選択します。
  7. [Phone number(電話番号)]フィールドに電話番号を入力します。国コードを含めず、ダッシュを省略し、国の電話システムで先頭にゼロが使用されている場合はそのゼロを省略します。
  8. 通話を選択し、電話番号に内線番号が含まれている場合は、[Extension(内線)]フィールドに入力します。
  9. [Receive a code via SMS(SMSでコードを受信)]または[Receive a code via voice call(通話でコードを受信)]をクリックします。選択したオプションに応じて、SMSまたは通話のいずれかでコードを受信します。
  10. [Enter Code(コードを入力)]フィールドにコードを入力します。
  11. [Verify(確認)]をクリックします。

新しい電話番号が追加されます。次回サインインするときは、プロンプトを完了するために使用する電話番号を選択できます。

次の手順