Okta Verifyユーザー検証設定に基づくユーザーエクスペリエンス

このガイドでは、ユーザー検証の登録オプション([Preferred(推奨)][Required(必須)][Required with biometrics only(生体認証でのみ必須)])に応じて、Okta VerifyOkta FastPassのユーザーエクスペリエンスがどのように変化するかを説明します。また、アプリサインインポリシーと生体認証によるユーザー検証の間のさまざまなインタラクションのシナリオも取り扱います。

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

[Inline step-up flow for User Verification with Okta Verify(Okta Verifyによるユーザー検証のインラインステップアップフロー)]を有効にすると、アプリサインインポリシーで定義したユーザー検証要件を満たすために必要な構成手順にユーザーは案内されます。この機能により、ユーザーがロックアウトされるリスクを減らせます。ユーザー検証の設定が失敗した場合、ユーザーはヘルプデスクに連絡する必要があります。

ユーザーが[Sign in with Okta FastPass(Okta FastPassでサインインする)]をクリックした場合、どのレベルのユーザー検証が必要かを判断するためのコンテキストが不十分です。Okta Verifyは、利用可能な場合は生体認証またはデバイスパスコードを使用してユーザーにチャレンジします。Oktaが正しいコンテキストを決定した後に、ユーザーは追加の検証要素を求められる場合があります。

Androidデバイス

ユーザータスク

推奨

必須

生体認証でのみ必須

登録

  • ユーザーには、画面ロックまたは生体認証確認を有効化することが求められます。これらのユーザーは、この手順をスキップしてOkta Verify登録に進むことができます。

  • 以前に登録済みユーザーは、[Account details(アカウントの詳細)]ページでユーザー検証設定を変更できます。

    [Security(セキュリティ)]セクションでは、[Screen lock confirmation(画面ロック確認)]をオン/オフできます。

    Android 10では、このオプションは[Biometric confirmation(生体認証確認)]と呼ばれます。

  • 新規ユーザーは、画面ロックまたは生体認証を有効にする必要があります。

  • ユーザーがデバイスで画面ロックまたは生体認証をセットアップしなかった場合、最初にこの構成を完了するようにOkta Verifyはユーザーをデバイスの設定に誘導します。

  • ユーザー検証を有効化しなかった登録済みユーザーには、Okta Verify[Account details(アカウントの詳細)]ページに対処法メッセージが表示されます。

    • [Enable screen lock confirmation(画面ロック確認を有効にする)]

    • 生体認証確認を有効にする

    • 画面ロックの設定がOkta Verifyと同期していない

  • 登録済みユーザーは、Okta Verifyで画面ロックまたは生体認証確認をオフにできません。

  • 新規ユーザーは、続行するには生体認証を有効にする必要があります。

  • ユーザーがデバイスで生体認証をセットアップしなかった場合、最初にこのステップを完了するようにOkta Verifyはユーザーをデバイスの設定に誘導します。

  • 生体認証機能を持たないデバイスはOkta Verifyに登録できません。ユーザーには、「Device not supported(デバイスはサポートされません)」というメッセージが表示されます。

  • 生体認証を有効化しなかった登録済みユーザーには、Okta Verify[Account details(アカウントの詳細)]ページに対処法メッセージが表示されます。

  • 登録済みユーザーは、Okta Verifyで生体認証をオフにできません。

Okta Verify Pushによる認証

  • 登録時にユーザーが生体認証を有効にした場合、この方式がユーザーに求められます。

  • ユーザーに生体認証確認が求められます。

  • ユーザーに生体認証確認が求められます。

Okta FastPassによる認証

  • アプリサインインポリシーに構成されている所有要素の制約に従って、生体認証またはパスワードの確認がユーザーに求められます。「アプリ・サインイン・ポリシー・ルールを追加する」を参照してください。

    • [Require user interaction(ユーザーインタラクションが必要)]を選択していない場合:ユーザーはサイレントに認証できます。

    • [Require user interaction(ユーザーインタラクションが必要)]を選択した場合:ユーザーには通知の承認が求められます。

    • [Require PIN or biometric user verification(PINまたは生体認証ユーザー検証が必要)]を選択した場合:生体認証またはPINによる認証がユーザーに求められます。

Okta Verifyのユーザー検証設定とデバイスの設定が同期していない場合、ユーザーには認証フロー中に対処法メッセージが表示されます。たとえば、「Enable biometric confirmation for Okta Verify(Okta Verifyの生体認証確認を有効にする)」が表示されます。

iOSデバイス

ユーザータスク

推奨

必須

生体認証でのみ必須

登録

  • ユーザーには、Touch ID、Face ID、またはパスコード確認を有効化することが求められます。これらのユーザーは、この手順をスキップしてOkta Verify登録に進むことができます。

  • 以前に登録済みユーザーは、[Okta Verify][Account Details(アカウントの詳細)]ページでユーザー検証設定を変更できます。

    [Face ID or Passcode Confirmation(Face IDまたはパスコード確認)]をオン/オフにできます。

  • 新規ユーザーは、続行するにはTouch ID、Face ID、またはパスコード確認を有効にする必要があります。

  • ユーザーがデバイスでTouch ID、Face ID、またはパスコードをセットアップしなかった場合、最初にこの構成を完了するようにOkta Verifyはユーザーをデバイスの設定に誘導します。

  • ユーザー検証を有効化しなかった登録済みユーザーには、Okta Verify[Account Details(アカウントの詳細)]ページに対処法メッセージが表示されます。

    • Enable Face ID Confirmation(Face ID確認を有効にする)

    • Enable Face ID or Passcode Confirmation(Face IDまたはパスコード確認を有効にする)

    • Face ID or Passcode Settings out of Sync with Okta Verify(Face IDまたはパスコードの設定がOkta Verifyと同期していない)

  • 登録済みユーザーは、Okta VerifyでFace ID、Touch ID、またはパスコード確認をオフにできません。

  • 新規ユーザーは、続行するにはTouch IDまたはFace ID確認を有効にする必要があります。

  • ユーザーがデバイスで生体認証をセットアップしなかった場合、最初にこの構成を完了するようにOkta Verifyはユーザーをデバイスの設定に誘導します。

  • 生体認証機能を持たないデバイスはOkta Verifyに登録できません。ユーザーには、「Device not supported(デバイスはサポートされません)」というメッセージが表示されます。

  • ユーザー検証を有効化しなかった登録済みユーザーには、Okta Verify[Account details(アカウントの詳細)]ページに対処法メッセージが表示されます。たとえば、「Enable Face ID(Face IDを有効にする)」が表示されます。

  • 登録済みユーザーは、Okta VerifyでFace IDまたはTouch IDをオフにできません。

Okta Verify Pushによる認証

  • 登録時にユーザーが生体認証を有効にした場合、この方式がユーザーに求められます。

  • ユーザーに生体認証確認が求められます。

  • ユーザーに生体認証確認が求められます。

Okta FastPassによる認証

  • アプリサインインポリシーに構成されている所有要素の制約に従って、生体認証またはパスコードの確認がユーザーに求められます。「アプリ・サインイン・ポリシー・ルールを追加する」を参照してください。

    • [Require user interaction(ユーザーインタラクションが必要)]を選択していない場合:ユーザーはサイレントに認証できます。
    • [Require user interaction(ユーザーインタラクションが必要)]を選択した場合:ユーザーには通知の承認が求められます。
    • [Require PIN or biometric user verification(PINまたは生体認証ユーザー検証が必要)]を選択した場合:生体認証またはPINによる認証がユーザーに求められます。

Okta Verifyのユーザー検証設定が自分の構成と一致しない、またはデバイスの設定と同期していない場合、ユーザーには認証フロー中に対処法メッセージが表示されます。たとえば、「Enable Face ID or Passcode Confirmation for Okta Verify(Okta VerifyのTouch IDまたはパスワード確認を有効にする)」が表示されます。

macOSデバイス

ユーザータスク

推奨

必須

生体認証でのみ必須

登録

  • ユーザーには、Touch IDまたはパスワード確認を有効化することが求められます。これらのユーザーは、この手順をスキップしてOkta Verify登録に進むことができます。

  • 以前に登録済みユーザーは、Okta Verifyのアカウントの詳細ページでユーザー検証設定を変更できます。

    ユーザーは、[Touch ID confirmation(Touch ID確認)]または[Password confirmation(パスワード確認)]をオン/オフにできます。

  • 新規ユーザーは、続行するにはTouch IDまたはパスワード確認を有効にする必要があります。

  • ユーザーがデバイスでTouch IDまたはパスワードをセットアップしなかった場合、最初にこの構成を完了するようにOkta Verifyはユーザーをデバイスの設定に誘導します。

  • ユーザー検証を有効化しなかった登録済みユーザーには、Okta Verifyに対処法メッセージが表示されます。

    • Enable Touch ID confirmation(Touch ID確認を有効にする)
    • Enable Touch ID or password confirmation(Touch IDまたはパスワード確認を有効にする)

    • Touch ID or passwords settings out of sync with Okta Verify(Touch IDまたはパスワードの設定がOkta Verifyと同期していない)

  • 登録済みユーザーは、Okta VerifyTouch IDまたはパスコード確認をオフにできません。

  • 新規ユーザーは、続行するにはTouch ID確認を有効にする必要があります。

  • ユーザーがデバイスで生体認証をセットアップしなかった場合、最初にこの構成を完了するようにOkta Verifyはユーザーをデバイスの設定に誘導します。

  • 生体認証機能を持たないデバイスはOkta Verifyに登録できません。ユーザーには、「Device not supported(デバイスはサポートされません)」というメッセージが表示されます。

  • ユーザー検証を有効化しなかった登録済みユーザーには、Okta Verifyに対処法メッセージが表示されます。たとえば、「Enable Touch ID confirmation(Touch ID確認を有効にする)」が表示されます。

  • 登録済みユーザーは、Okta VerifyTouch IDをオフにできません。

Okta FastPassによる認証

  • アプリサインインポリシーに構成されている所有要素の制約に従って、生体認証またはパスワードの確認がユーザーに求められます。「アプリ・サインイン・ポリシー・ルールを追加する」を参照してください。

    • [Require user interaction(ユーザーインタラクションが必要)]を選択していない場合:ユーザーはサイレントに認証できます。
    • [Require user interaction(ユーザーインタラクションが必要)]を選択した場合:ユーザーには通知の承認が求められます。
    • [Require PIN or biometric user verification(PINまたは生体認証ユーザー検証が必要)]を選択した場合:生体認証またはPINによる認証がユーザーに求められます。

Okta Verifyのユーザー検証設定が自分の構成と一致しない、またはデバイスの設定と同期していない場合、ユーザーには認証フロー中に対処法メッセージが表示されます。たとえば、「Enable Touch ID or password confirmation for Okta Veify(Okta VerifyのTouch IDまたはパスワード確認を有効にする)」が表示されます。

Windowsデバイス

ユーザータスク

推奨

必須

生体認証でのみ必須

登録

  • ユーザーには、Windows Helloを有効化することが求められます。これらのユーザーは、この手順をスキップしてOkta Verify登録に進むことができます。

  • 登録済みユーザーは、[Okta Verify][アカウントの詳細]ページでユーザー検証設定を変更できます。

    [Windows Hello confirmation(Windows Hello確認)]のオン/オフを切り替えられます。

  • Windowsの要件により、[Required(必須)][Required with biometrics only(生体認証でのみ必須)]は同等であり、同じユーザーエクスペリエンスをトリガーします。

  • 新規ユーザーは、続行するにはWindows Helloの顔、指紋、およびPIN検証を有効にする必要があります。

  • ユーザーがデバイスでWindows Helloをセットアップしなかった場合、最初にこの構成を完了するようにOkta Verifyはユーザーをデバイスの設定に誘導します。

  • Windows HelloをサポートしないデバイスはOkta Verifyに登録できません。ユーザーには、「Device not supported(デバイスはサポートされません)」というメッセージが表示されます。

  • Windows Helloを有効化しなかった登録済みユーザーには、Okta Verifyに対処法メッセージが表示されます。

  • 登録済みユーザーは、Windows Helloをオフにできません。

Okta FastPassによる認証

  • アプリサインインポリシーに構成されている所有要素の制約に従って、生体認証またはPINの確認がユーザーに求められます。「アプリ・サインイン・ポリシー・ルールを追加する」を参照してください。

    • [Require user interaction(ユーザーインタラクションが必要)]を選択していない場合:ユーザーはサイレントに認証できます。
    • [Require user interaction(ユーザーインタラクションが必要)]を選択した場合:ユーザーには通知の承認が求められます。
    • [Require PIN or biometric user verification(PINまたは生体認証ユーザー検証が必要)]を選択した場合:生体認証またはPINによる認証がユーザーに求められます。

Okta Verifyのユーザー検証設定が自分の構成と一致しない場合、またはデバイスの設定と同期していない場合、ユーザーには認証フロー中に対処法メッセージが表示されます。たとえば、「Enable Windows Hello confirmation(Windows Hello確認を有効にする)」や「Windows Hello settings out of sync with Okta Verify(Windows Helloの設定がOkta Verifyと同期していない)」が表示されます。

Windows向けのOkta Verifyは、インライン修復をサポートしていません。ユーザーは、ユーザー検証を必要とするリソースにアクセスには、Okta Verifyアプリでユーザー検証を有効にする必要があります。

ユーザー検証のベストプラクティス

  • [Required with biometrics only(生体認証でのみ必須)]設定は、最も強力なセキュリティを提供しますが、生体認証をサポートしていないデバイスで登録の問題が生じる可能性があります。

  • [Preferred(推奨)]設定は、最も柔軟なユーザーエクスペリエンスを提供します。

  • Windowsオペレーティングシステムには、[Required(必須)][Required with biometrics only(生体認証でのみ必須)]オプションが同じ動作をするという固有の制約があります。

  • Okta Verifyは、ユーザーのデバイス設定と構成されたポリシーが同期していない場合に、修復プロンプトを表示します。

アプリ・サインイン・ポリシーでの生体認証によるユーザー検証

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

[Biometric user verification in authentication policies(認証ポリシーでの生体認証によるユーザー検証)]機能を有効にすると、生体認証を要求するポリシールールを構成できるようになります。

アプリサインインポリシールール

Okta Verify PushまたはOkta FastPassで認証する際のユーザーエクスペリエンスは、次のようないくつかの条件によって決まります。

シナリオ1

  • アプリサインインポリシールールの要件:[Any method(任意の方法)]

  • Okta Verify登録:[Preferred(推奨)]

デバイスパスコード 生体認証 結果
有効でない 有効でない ユーザーはOkta Verifyプロンプトに応答することで認証します。
有効 有効でない ユーザーはデバイスパスコードを使用して認証します。
有効 有効 ユーザーはデバイスパスコードを使用して認証します。

シナリオ2

  • アプリサインインポリシールールの要件:[Any method(任意の方法)]

  • Okta Verify登録:[Required(必須)]

デバイスパスコード 生体認証 結果
有効でない 有効でない
  • Okta Verify Push:ユーザーが認証するときに、デバイスのパスコードをセットアップするよう求められます。
  • Okta FastPass:ユーザーはOkta Verifyプロンプトを承認することで認証します。
有効 有効でない ユーザーはデバイスパスコードを使用して認証します。
有効 有効 ユーザーはデバイスパスコードを使用して認証します。

シナリオ3

  • アプリサインインポリシールールの要件:[Any method(任意の方法)]

  • Okta Verify登録:[Required with biometrics only(生体認証でのみ必須)]

デバイスパスコード 生体認証 結果
有効でない 有効でない
  • Okta Verify Push:ユーザーが認証するときに、生体認証をセットアップするよう求められます。
  • Okta FastPass:ユーザーはOkta Verifyプロンプトを承認することで認証します。
有効 有効でない
  • Okta Verify Push:ユーザーが認証するときに、生体認証をセットアップするよう求められます。
  • Okta FastPass:ユーザーはデバイスパスコードを使用して認証します。
有効 有効
  • Okta Verify Push:ユーザーは生体認証を使用して認証します。
  • Okta FastPass:ユーザーはデバイスパスコードを使用して認証します。

シナリオ4

  • アプリサインインポリシールールの要件:[Require PIN or biometric user verification(PINまたは生体認証によるユーザー検証を求める)]

  • Okta Verify登録:[Preferred(推奨)]または[Required(必須)]

デバイスパスコード 生体認証 結果
有効でない 有効でない ユーザーが認証するときに、デバイスのパスコードをセットアップするよう求められます。
有効 有効でない ユーザーはデバイスパスコードを使用して認証します。
有効 有効 ユーザーはデバイスパスコードを使用して認証します。

シナリオ5

  • アプリサインインポリシールールの要件:[Require PIN or biometric user verification(PINまたは生体認証によるユーザー検証を求める)]

  • Okta Verify登録:または[Required with biometrics only(生体認証でのみ必須)]

デバイスパスコード 生体認証 結果
有効でない 有効でない
  • Okta Verify Push:ユーザーが認証するときに、生体認証をセットアップするよう求められます。
  • Okta FastPass:ユーザーが認証するときに、デバイスのパスコードをセットアップするよう求められます。
有効 有効でない
  • Okta Verify Push:ユーザーが認証するときに、生体認証をセットアップするよう求められます。
  • Okta FastPass:ユーザーはデバイスパスコードを使用して認証します。
有効 有効
  • Okta Verify Push:ユーザーは生体認証を使用して認証します。
  • Okta FastPass:ユーザーはデバイスパスコードを使用して認証します。

シナリオ6

この認証シナリオでは、ユーザーエクスペリエンスはOkta Verifyアカウントの状態によって決まります。Okta Verify登録設定は、認証フローに影響しません。

  • アプリサインインポリシールールの要件:[Require PIN or biometric user verification(PINまたは生体認証によるユーザー検証を求める)]

  • Okta Verify登録:[Preferred(推奨)][Required(必須)]、または[Required with biometrics only(生体認証でのみ必須)]

デバイスパスコード 生体認証 結果
有効でない 有効でない
  • Okta Verify Push:ユーザーが認証するときに、生体認証をセットアップするよう求められます。
  • Okta FastPass:ユーザーがAndroidiOS、またはmacOSで認証すると、生体認証をセットアップするよう求められます。
  • Okta FastPassWindowsでは認証がブロックされます(注を参照)。
有効 有効でない
  • Okta Verify Push:ユーザーが認証するときに、生体認証をセットアップするよう求められます。
  • Okta FastPass:ユーザーがAndroidiOS、またはmacOSで認証すると、生体認証をセットアップするよう求められます。
  • Okta FastPassWindowsでは認証がブロックされます(注を参照)。
有効 有効
  • Okta Verify Push:ユーザーは生体認証を使用して認証します。
  • Okta FastPass:ユーザーはAndroidiOS、またはmacOSで生体認証を使用して認証します。
  • Okta FastPassWindowsでは認証がブロックされます(注を参照)。

Windowsの制約により、OktaWindows Hello PINの使用を防止できません。

生体認証を必須とするようにOkta Verify登録を構成した場合でも、Windows Hello PINのみを有効にしたユーザーはOkta Verifyの登録要件を満たします。

生体認証によるユーザー検証のベストプラクティス

生体認証によるユーザー検証を必須とするアプリ・サインイン・ポリシーを構成する際には、例外的なケースに対処するためのルールを別途作成してください。

  • 生体認証をサポートしていないデバイス向けの専用ルールを作成します。

  • Windowsユーザー向けの専用ルールを作成し、ユーザーインタラクションを[Require device passcode or biometric user verification(デバイスパスコードまたは生体認証によるユーザー検証を必須とする)]に設定します。

    ポリシールールで生体認証によるユーザー検証を要求する場合、Okta Verify登録時にWindows Hello PINしかセットアップしていないWindowsユーザーについては、認証が失敗します。

関連項目

Okta Verifyオプションを構成する