Google認証システム
Google認証システムは、多要素認証(MFA)が必要な環境にサインインするユーザーに、認証の第2要素として時間ベースのワンタイムパスワード(TOTP)を提供するアプリです。
Oktaで、管理者は、受け入れられるオーセンティケーターのリストにGoogle認証システムを追加します。その後、これを選択して認証するユーザーは、OktaでGoogle認証システムアプリに表示される時間ベースの6桁コードの入力を求められるようになります。
- Google認証システムをOktaオーセンティケーターとしてアクティブ化する
- MFA登録ポリシーにGoogle認証システムを登録する
- エンドユーザーエクスペリエンス
- Google認証システムのレート制限について
- 重要な考慮事項
- 関連項目
Google認証システムをOktaオーセンティケーターとしてアクティブ化する
- Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- [Setup(設定)]タブで、[Add Authenticator(オーセンティケーターを追加)]をクリックします。
- Google認証システムタイルで[Add(追加)]をクリックし、詳細画面でもう一度クリックします。
- Google認証システムを多要素ポリシーに登録します。
MFA登録ポリシーにGoogle認証システムを登録する
- Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- [Enrollment(登録)]タブで、新しいMFA登録ポリシーを追加するか、既存のMFA登録ポリシーを編集します。
ポリシーを追加する
- [Add Multifactor Policy(多要素ポリシーを追加)]をクリックします。
- 名前を入力します。
- グループに割り当てます。
- Google認証システムを[Optional(任意)]または[Required(必須)]に設定します。
- [Create Policy(ポリシーを作成)]をクリックします。
- ポリシーに1つ以上のルールを追加する場合は、「認証登録ポリシールールの構成」を参照してください。
ポリシーを編集する
- 編集するポリシーを選択し、[Edit(編集)]をクリックします。
- [Effective factors(有効な要素)]で、Google認証システムを[Optional(任意)]または[Required(必須)]に設定します。
- [Update Policy(ポリシーを更新)]をクリックします。
- ポリシーに1つ以上のルールを追加する場合は、「認証登録ポリシールールの構成」を参照してください。
エンドユーザーエクスペリエンス
- Apple App StoreまたはGoogle Playストアに移動して、デバイスにGoogle認証システムをインストールします。
- コンピューターのWebブラウザーで:Oktaにサインインする場合、またはOktaで保護されたリソースにアクセスする場合は、資格情報を入力し、[Next(次へ)]をクリックします。
- [Setup security authenticators(セキュリティオーセンティケーターのセットアップ)]画面で、[Set up(設定)]をクリックします。
- デバイスの種類を選択し、[Next(次へ)]をクリックします。
-
該当するQRコードスキャン手順を実行します。
デバイスがQRコードのスキャンをサポートしている場合:
- ブラウザーの[Next(次へ)]はまだクリックしないでください。代わりに、モバイルデバイスでGoogle認証システムを起動します。
- Google認証システムで、+記号をタップします。
- [Scan a QR code(QRコードをスキャン)]をタップして、コンピューターのブラウザーに表示されたQRコードにカメラを向けます。デバイスのカメラがQRコードを自動的にスキャンします。
- コンピューターのWebブラウザーで、[Next(次へ)]をクリックします。
- [Enter Code(コードを入力)]フィールドに、モバイルデバイスのGoogle認証システムに表示されるセットアップキーを入力します。
- [Review(確認)]をクリックします。
QRコードをスキャンできない場合:
- ブラウザーの[Next(次へ)]はまだクリックしないでください。
- コンピューターのWebブラウザーで、[Can’t scan(スキャンできない)]をクリックします。
- [Next(次へ)]ボタンの上のフィールドにある数字と文字の文字列を書き留めます。
- モバイルデバイスでGoogle認証システムを起動します。
- +記号をタップします。
- [Enter a setup key(セットアップキーを入力)]をタップします。
- [Account(アカウント)]フィールドに、Oktaユーザー名を入力します。
- [Key(キー)]フィールドに、前にメモした数字と文字の文字列を入力します。
- [Add(追加)]をタップします。[Secret saved(シークレットは保存されました)]というメッセージが表示されます。
- コンピューターのWebブラウザーで、[Next(次へ)]をクリックします。
- [Enter Code(コードを入力)]フィールドに、モバイルデバイスのGoogle認証システムに表示されるセットアップキーを入力します。
- [Review(確認)]をクリックします。
Google認証システムのレート制限について
機密性の高い企業リソースを不正アクセスから保護するために、Oktaでは、Google認証システムから5分間に試行された認証の失敗に5回のレート制限を適用しています。Google認証システムからの認証の失敗がレート制限を超えると、次のようになります。
- レート制限にパスするまで、Google認証システムからの認証は許可されません。
- 「リクエストが多すぎる」ことを示すHTTPステータスコード429がOktaから返されます。
- メッセージがユーザーインターフェイスに表示され、System Logに書き込まれます。
重要な考慮事項
- エンドユーザーのデバイスの時刻がGoogle認証システムアプリのクロックの時刻と一致しない場合があります。これを補うために、Google認証システムアプリでは、Google認証システムアプリの時間とエンドユーザーのデバイスの時間差を前後で最大2分許容しています。