Okta Verifyユーザー検証設定に基づくユーザーエクスペリエンス

このガイドでは、ユーザー検証の登録オプション(推奨(Preferred)必須(Required)生体認証でのみ必須(Required with biometrics only))に応じて、Okta VerifyOkta FastPassのユーザーエクスペリエンスがどのように変化するかを説明します。また、アプリサインインポリシーと生体認証によるユーザー検証の間のさまざまなインタラクションのシナリオも取り扱います。

早期アクセスリリース。セルフサービス機能を有効にするを参照してください。

Okta Verifyによるユーザー検証のインラインステップアップフロー(Inline step-up flow for User Verification with Okta Verify)を有効にすると、アプリサインインポリシーで定義したユーザー検証要件を満たすために必要な構成手順にユーザーは案内されます。この機能により、ユーザーがロックアウトされるリスクを減らせます。ユーザー検証の設定が失敗した場合、ユーザーはヘルプデスクに連絡する必要があります。

次の表に、プラットフォームごとのユーザー登録エクスペリエンスを示します。

Androidデバイス

ユーザータスク

推奨

必須

生体認証でのみ必須

登録

  • ユーザーには、画面ロックまたは生体認証確認を有効化することが求められます。これらのユーザーは、この手順をスキップしてOkta Verify登録に進むことができます。

  • 以前に登録済みユーザーは、アカウントの詳細(Account details)ページでユーザー検証設定を変更できます。

    セキュリティ(Security)セクションでは、画面ロック確認(Screen lock confirmation)をオン/オフできます。

    Android 10では、このオプションは生体認証確認(Biometric confirmation)と呼ばれます。

  • 新規ユーザーは、画面ロックまたは生体認証を有効にする必要があります。

  • ユーザーがデバイスで画面ロックまたは生体認証をセットアップしなかった場合、最初にこの構成を完了するようにOkta Verifyはユーザーをデバイスの設定に誘導します。

  • ユーザー検証を有効化しなかった登録済みユーザーには、Okta Verifyアカウントの詳細(Account Details)ページに対処法メッセージが表示されます。

    • 画面ロック確認を有効にする(Enable screen lock confirmation)

    • 生体認証確認を有効にする(Enable biometric confirmation)

    • 画面ロックの設定がOkta Verifyと同期していない(Screen lock settings out of sync with Okta Verify)

  • 登録済みユーザーは、Okta Verifyで画面ロックまたは生体認証確認をオフにできません。

  • 新規ユーザーは、続行するには生体認証を有効にする必要があります。

  • ユーザーがデバイスで生体認証をセットアップしなかった場合、最初にこのステップを完了するようにOkta Verifyはユーザーをデバイスの設定に誘導します。

  • 生体認証機能を持たないデバイスはOkta Verifyに登録できません。ユーザーには、デバイスはサポートされません(Device not supported)(Device not supported message)というメッセージが表示されます。

  • 生体認証を有効化しなかった登録済みユーザーには、Okta Verifyアカウントの詳細(Account details)ページに対処法メッセージが表示されます。

  • 登録済みユーザーは、Okta Verifyで生体認証をオフにできません。

Okta Verify Pushによる認証

登録時にユーザーが生体認証を有効にした場合、この方式がユーザーに求められます。

ユーザーに生体認証確認が求められます。

ユーザーに生体認証確認が求められます。

Okta FastPassによる認証

アプリサインインポリシーに構成されている所有要素の制約に従って、生体認証またはパスワードの確認がユーザーに求められます。アプリ・サインイン・ポリシー・ルールを追加するを参照してください。

  • ユーザーインタラクションが必要(Require user interaction)を選択していない場合:ユーザーはサイレントに認証できます。

  • ユーザーインタラクションが必要(Require user interaction)を選択した場合:ユーザーには通知の承認が求められます。

  • PINまたは生体認証ユーザー検証が必要(Require PIN or biometric user verification)を選択した場合:生体認証またはPINによる認証がユーザーに求められます。

Okta Verifyのユーザー検証設定がデバイス設定と同期していない場合、ポリシー要件は満たされません。ユーザーは、次のエラーでアクセスを拒否されます:Access has been denied because the policy requirements could not be satisfied by the user's current set of available authenticator enrollments

iOSデバイス

ユーザータスク

推奨

必須

生体認証でのみ必須

登録

  • ユーザーには、Touch ID、Face ID、またはパスコード確認を有効化することが求められます。これらのユーザーは、この手順をスキップしてOkta Verify登録に進むことができます。

  • 以前に登録済みユーザーは、Okta Verifyアカウントの詳細(Account Details)ページでユーザー検証設定を変更できます。

    Face IDまたはパスコード確認(Face ID or Passcode Confirmation)をオン/オフにできます。

  • 新規ユーザーは、続行するにはTouch ID、Face ID、またはパスコード確認を有効にする必要があります。

  • ユーザーがデバイスでTouch ID、Face ID、またはパスコードをセットアップしなかった場合、最初にこの構成を完了するようにOkta Verifyはユーザーをデバイスの設定に誘導します。

  • ユーザー検証を有効化しなかった登録済みユーザーには、Okta Verifyアカウントの詳細(Account Details)ページに対処法メッセージが表示されます。

    • Face ID確認を有効にする(Enable Face ID Confirmation)

    • Face IDまたはパスコード確認を有効にする(Enable Face ID or Passcode Confirmation)

    • Face IDまたはパスコードの設定がOkta Verifyと同期していない(Face ID or Passcode Settings out of Sync with Okta Verify)

  • 登録済みユーザーは、Okta VerifyでFace ID、Touch ID、またはパスコード確認をオフにできません。

  • 新規ユーザーは、続行するにはTouch IDまたはFace ID確認を有効にする必要があります。

  • ユーザーがデバイスで生体認証をセットアップしなかった場合、最初にこの構成を完了するようにOkta Verifyはユーザーをデバイスの設定に誘導します。

  • 生体認証機能を持たないデバイスはOkta Verifyに登録できません。ユーザーには、デバイスはサポートされません(Device not supported)というメッセージが表示されます。

  • ユーザー検証を有効化しなかった登録済みユーザーには、Okta Verifyアカウントの詳細(Account Details)ページに対処法メッセージが表示されます。たとえば、Face IDを有効にする(Enable Face ID)が表示されます。

  • 登録済みユーザーは、Okta VerifyでFace IDまたはTouch IDをオフにできません。

Okta Verify Pushによる認証

登録時にユーザーが生体認証を有効にした場合、この方式がユーザーに求められます。

ユーザーに生体認証確認が求められます。

ユーザーに生体認証確認が求められます。

Okta FastPassによる認証

アプリサインインポリシーに構成されている所有要素の制約に従って、生体認証またはパスコードの確認がユーザーに求められます。アプリ・サインイン・ポリシー・ルールを追加するを参照してください。

  • ユーザーインタラクションが必要(Require user interaction)を選択していない場合:ユーザーはサイレントに認証できます。
  • ユーザーインタラクションが必要(Require user interaction)を選択した場合:ユーザーには通知の承認が求められます。
  • PINまたは生体認証ユーザー検証が必要(Require PIN or biometric user verification)を選択した場合:生体認証またはPINによる認証がユーザーに求められます。

Okta Verifyのユーザー検証設定がデバイス設定と同期していない場合、ポリシー要件は満たされません。ユーザーは、次のエラーでアクセスを拒否されます:Access has been denied because the policy requirements could not be satisfied by the user's current set of available authenticator enrollments

macOSデバイス

ユーザータスク

推奨

必須

生体認証でのみ必須

登録

  • ユーザーには、Touch IDまたはパスワード確認を有効化することが求められます。これらのユーザーは、この手順をスキップしてOkta Verify登録に進むことができます。

  • 以前に登録済みユーザーは、Okta Verifyのアカウントの詳細ページでユーザー検証設定を変更できます。

    ユーザーは、Touch ID確認(Touch ID confirmation)またはパスワード確認(Password confirmation)をオン/オフにできます。

  • 新規ユーザーは、続行するにはTouch IDまたはパスワード確認を有効にする必要があります。

  • ユーザーがデバイスでTouch IDまたはパスワードをセットアップしなかった場合、最初にこの構成を完了するようにOkta Verifyはユーザーをデバイスの設定に誘導します。

  • ユーザー検証を有効化しなかった登録済みユーザーには、Okta Verifyに対処法メッセージが表示されます。

    • Touch ID確認を有効にする(Enable Touch ID confirmation)

    • Touch IDまたはパスワード確認を有効にする(Enable Touch ID or password confirmation)

    • Touch IDまたはパスワードの設定がOkta Verifyと同期していない(Touch ID or passwords settings out of sync with Okta Verify)

  • 登録済みユーザーは、Okta VerifyTouch IDまたはパスコード確認をオフにできません。

  • 新規ユーザーは、続行するにはTouch ID確認を有効にする必要があります。

  • ユーザーがデバイスで生体認証をセットアップしなかった場合、最初にこの構成を完了するようにOkta Verifyはユーザーをデバイスの設定に誘導します。

  • 生体認証機能を持たないデバイスはOkta Verifyに登録できません。ユーザーには、デバイスはサポートされません(Device not supported)というメッセージが表示されます。

  • ユーザー検証を有効化しなかった登録済みユーザーには、Okta Verifyに対処法メッセージが表示されます。たとえば、Touch ID確認を有効にする(Enable Touch ID confirmation)が表示されます。

  • 登録済みユーザーは、Okta VerifyTouch IDをオフにできません。

Okta FastPassによる認証

アプリサインインポリシーに構成されている所有要素の制約に従って、生体認証またはパスワードの確認がユーザーに求められます。アプリ・サインイン・ポリシー・ルールを追加するを参照してください。

  • ユーザーインタラクションが必要(Require user interaction)を選択していない場合:ユーザーはサイレントに認証できます。
  • ユーザーインタラクションが必要(Require user interaction)を選択した場合:ユーザーには通知の承認が求められます。
  • PINまたは生体認証ユーザー検証が必要(Require PIN or biometric user verification)を選択した場合:生体認証またはPINによる認証がユーザーに求められます。

Okta Verifyのユーザー検証設定がデバイス設定と同期していない場合、ポリシー要件は満たされません。ユーザーは、次のエラーでアクセスを拒否されます:Access has been denied because the policy requirements could not be satisfied by the user's current set of available authenticator enrollments

Windowsデバイス

ユーザータスク

推奨

必須

生体認証でのみ必須

登録

  • ユーザーには、Windows Helloを有効化することが求められます。これらのユーザーは、この手順をスキップしてOkta Verify登録に進むことができます。

  • 登録済みユーザーは、Okta Verify[アカウントの詳細]ページでユーザー検証設定を変更できます。

    Windows Hello確認(Windows Hello confirmation)のオン/オフを切り替えられます。

  • Windowsの要件により、必須(Required)生体認証でのみ必須(Required with biometrics only)は同等であり、同じユーザーエクスペリエンスをトリガーします。

  • 新規ユーザーは、続行するにはWindows Helloの顔、指紋、およびPIN検証を有効にする必要があります。

  • ユーザーがデバイスでWindows Helloをセットアップしなかった場合、最初にこの構成を完了するようにOkta Verifyはユーザーをデバイスの設定に誘導します。

  • Windows HelloをサポートしないデバイスはOkta Verifyに登録できません。ユーザーには、デバイスはサポートされません(Device not supported)というメッセージが表示されます。

  • Windows Helloを有効化しなかった登録済みユーザーには、Okta Verifyに対処法メッセージが表示されます。

  • 登録済みユーザーは、Windows Helloをオフにできません。

Okta FastPassによる認証

アプリサインインポリシーに構成されている所有要素の制約に従って、生体認証またはPINの確認がユーザーに求められます。アプリ・サインイン・ポリシー・ルールを追加するを参照してください。

  • ユーザーインタラクションが必要(Require user interaction)を選択していない場合:ユーザーはサイレントに認証できます。
  • ユーザーインタラクションが必要(Require user interaction)を選択した場合:ユーザーには通知の承認が求められます。
  • PINまたは生体認証ユーザー検証が必要(Require PIN or biometric user verification)を選択した場合:生体認証またはPINによる認証がユーザーに求められます。

Okta Verifyのユーザー検証設定がデバイス設定と同期していない場合、ポリシー要件は満たされません。ユーザーは、次のエラーでアクセスを拒否されます:Access has been denied because the policy requirements could not be satisfied by the user's current set of available authenticator enrollments

Windows向けのOkta Verifyは、インライン修復をサポートしていません。ユーザー検証を必要とするリソースにアクセスには、ユーザーはOkta Verifyアプリでユーザー検証を有効にする必要があります。

ユーザー検証のベストプラクティス

  • 生体認証でのみ必須(Required with biometrics only)設定は、最も強力なセキュリティを提供しますが、生体認証をサポートしていないデバイスで登録の問題が生じる可能性があります。

  • 推奨(Preferred)設定は、最も柔軟なユーザーエクスペリエンスを提供します。

  • Windowsオペレーティングシステムには、必須(Required)生体認証でのみ必須(Required with biometrics only)オプションが同じ動作をするという固有の制約があります。

  • Okta Verifyは、ユーザーのデバイス設定と構成されたポリシーが同期していない場合に、修復プロンプトを表示します。

アプリ・サインイン・ポリシーでの生体認証によるユーザー検証

早期アクセスリリース。セルフサービス機能を有効にするを参照してください。

認証ポリシーでの生体認証によるユーザー検証(Biometric user verification in authentication policies)機能を有効にすると、生体認証を要求するポリシールールを構成できるようになります。

アプリサインインポリシールール

Okta Verify PushまたはOkta FastPassで認証する際のユーザーエクスペリエンスは、次のようないくつかの条件によって決まります。

次のシナリオおよび表は、特定のアプリオンポリシールールが適用される場合のさまざまな認証エクスペリエンスを示しています。

シナリオ1

  • アプリサインインポリシールールの要件:任意の方法(Any method)

  • Okta Verify登録:推奨(Preferred)

デバイスパスコード 生体認証 結果
有効でない 有効でない ユーザーはOkta Verifyプロンプトに応答することで認証します。
有効 有効でない ユーザーはデバイスパスコードを使用して認証します。
有効 有効 ユーザーはデバイスパスコードを使用して認証します。

シナリオ2

  • アプリサインインポリシールールの要件:任意の方法(Any method)

  • Okta Verify登録:必須(Required)

デバイスパスコード 生体認証 結果
有効でない 有効でない
  • Okta Verify Push:ユーザーが認証するときに、デバイスのパスコードをセットアップするよう求められます。
  • Okta FastPass:ユーザーはOkta Verifyプロンプトを承認することで認証します。
有効 有効でない ユーザーはデバイスパスコードを使用して認証します。
有効 有効 ユーザーはデバイスパスコードを使用して認証します。

シナリオ3

  • アプリサインインポリシールールの要件:任意の方法(Any method)

  • Okta Verify登録:生体認証でのみ必須(Required with biometrics only)

デバイスパスコード 生体認証 結果
有効でない 有効でない
  • Okta Verify Push:ユーザーが認証するときに、生体認証をセットアップするよう求められます。
  • Okta FastPass:ユーザーはOkta Verifyプロンプトを承認することで認証します。
有効 有効でない
  • Okta Verify Push:ユーザーが認証するときに、生体認証をセットアップするよう求められます。
  • Okta FastPass:ユーザーはデバイスパスコードを使用して認証します。
有効 有効
  • Okta Verify Push:ユーザーは生体認証を使用して認証します。
  • Okta FastPass:ユーザーはデバイスパスコードを使用して認証します。

シナリオ4

  • アプリサインインポリシールールの要件:PINまたは生体認証によるユーザー検証を求める(Require PIN or biometric user verification)

  • Okta Verify登録:推奨(Preferred)または必須(Required)

デバイスパスコード 生体認証 結果
有効でない 有効でない ユーザーが認証するときに、デバイスのパスコードをセットアップするよう求められます。
有効 有効でない ユーザーはデバイスパスコードを使用して認証します。
有効 有効 ユーザーはデバイスパスコードを使用して認証します。

シナリオ5

  • アプリサインインポリシールールの要件:PINまたは生体認証によるユーザー検証を求める(Require PIN or biometric user verification)

  • Okta Verify登録:または生体認証でのみ必須(Required with biometrics only)

デバイスパスコード 生体認証 結果
有効でない 有効でない
  • Okta Verify Push:ユーザーが認証するときに、生体認証をセットアップするよう求められます。
  • Okta FastPass:ユーザーが認証するときに、デバイスのパスコードをセットアップするよう求められます。
有効 有効でない
  • Okta Verify Push:ユーザーが認証するときに、生体認証をセットアップするよう求められます。
  • Okta FastPass:ユーザーはデバイスパスコードを使用して認証します。
有効 有効
  • Okta Verify Push:ユーザーは生体認証を使用して認証します。
  • Okta FastPass:ユーザーはデバイスパスコードを使用して認証します。

シナリオ6

この認証シナリオでは、ユーザーエクスペリエンスはOkta Verifyアカウントの状態によって決まります。Okta Verify登録設定は、認証フローに影響しません。

  • アプリサインインポリシールールの要件:PINまたは生体認証によるユーザー検証を求める(Require PIN or biometric user verification)

  • Okta Verify登録:推奨(Preferred)必須(Required)、または生体認証でのみ必須(Required with biometrics only)

デバイスパスコード 生体認証 結果
有効でない 有効でない
  • Okta Verify Push:ユーザーが認証するときに、生体認証をセットアップするよう求められます。
  • Okta FastPass:ユーザーがAndroidiOS、またはmacOSで認証すると、生体認証をセットアップするよう求められます。
  • Okta FastPassWindowsでは認証がブロックされます(注を参照)。
有効 有効でない
  • Okta Verify Push:ユーザーが認証するときに、生体認証をセットアップするよう求められます。
  • Okta FastPass:ユーザーがAndroidiOS、またはmacOSで認証すると、生体認証をセットアップするよう求められます。
  • Okta FastPassWindowsでは認証がブロックされます(注を参照)。
有効 有効
  • Okta Verify Push:ユーザーは生体認証を使用して認証します。
  • Okta FastPass:ユーザーはAndroidiOS、またはmacOSで生体認証を使用して認証します。
  • Okta FastPassWindowsでは認証がブロックされます(注を参照)。

生体認証によるユーザー検証のベストプラクティス

生体認証によるユーザー検証を必須とするアプリ・サインイン・ポリシーを構成する際には、例外的なケースに対処するためのルールを別途作成してください。

  • 生体認証をサポートしていないデバイス向けの専用ルールを作成します。

  • Windowsユーザー向けの専用ルールを作成し、ユーザーインタラクションをデバイスパスコードまたは生体認証によるユーザー検証を必須とする(Require device passcode or biometric user verification)に設定します。

    ポリシールールで生体認証によるユーザー検証を要求する場合、Okta Verify登録時にWindows Hello PINしかセットアップしていないWindowsユーザーについては、認証が失敗します。

関連項目

Okta Verifyオプションを構成する