Okta Verifyユーザー検証設定に基づくユーザーエクスペリエンス
このガイドでは、ユーザー検証の登録オプション([Preferred(推奨)]、[Required(必須)]、[Required with biometrics only(生体認証でのみ必須)])に応じて、Okta VerifyとOkta FastPassのユーザーエクスペリエンスがどのように変化するかを説明します。また、アプリサインインポリシーと生体認証によるユーザー検証の間のさまざまなインタラクションのシナリオも取り扱います。
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
[Inline step-up flow for User Verification with Okta Verify(Okta Verifyによるユーザー検証のインラインステップアップフロー)]を有効にすると、アプリサインインポリシーで定義したユーザー検証要件を満たすために必要な構成手順にユーザーは案内されます。この機能により、ユーザーがロックアウトされるリスクを減らせます。ユーザー検証の設定が失敗した場合、ユーザーはヘルプデスクに連絡する必要があります。
ユーザーが[Sign in with Okta FastPass(Okta FastPassでサインインする)]をクリックした場合、どのレベルのユーザー検証が必要かを判断するためのコンテキストが不十分です。Okta Verifyは、利用可能な場合は生体認証またはデバイスパスコードを使用してユーザーにチャレンジします。Oktaが正しいコンテキストを決定した後に、ユーザーは追加の検証要素を求められる場合があります。
Androidデバイス
ユーザータスク |
推奨 |
必須 |
生体認証でのみ必須 |
---|---|---|---|
登録 |
|
|
|
Okta Verify Pushによる認証 |
|
|
|
Okta FastPassによる認証 |
|
Okta Verifyのユーザー検証設定とデバイスの設定が同期していない場合、ユーザーには認証フロー中に対処法メッセージが表示されます。たとえば、「Enable biometric confirmation for Okta Verify(Okta Verifyの生体認証確認を有効にする)」が表示されます。
iOSデバイス
ユーザータスク |
推奨 |
必須 |
生体認証でのみ必須 |
---|---|---|---|
登録 |
|
|
|
Okta Verify Pushによる認証 |
|
|
|
Okta FastPassによる認証 |
|
Okta Verifyのユーザー検証設定が自分の構成と一致しない、またはデバイスの設定と同期していない場合、ユーザーには認証フロー中に対処法メッセージが表示されます。たとえば、「Enable Face ID or Passcode Confirmation for Okta Verify(Okta VerifyのTouch IDまたはパスワード確認を有効にする)」が表示されます。
macOSデバイス
ユーザータスク |
推奨 |
必須 |
生体認証でのみ必須 |
---|---|---|---|
登録 |
|
|
|
Okta FastPassによる認証 |
|
Okta Verifyのユーザー検証設定が自分の構成と一致しない、またはデバイスの設定と同期していない場合、ユーザーには認証フロー中に対処法メッセージが表示されます。たとえば、「Enable Touch ID or password confirmation for Okta Veify(Okta VerifyのTouch IDまたはパスワード確認を有効にする)」が表示されます。
Windowsデバイス
ユーザータスク |
推奨 |
必須 |
生体認証でのみ必須 |
---|---|---|---|
登録 |
|
|
|
Okta FastPassによる認証 |
|
Okta Verifyのユーザー検証設定が自分の構成と一致しない場合、またはデバイスの設定と同期していない場合、ユーザーには認証フロー中に対処法メッセージが表示されます。たとえば、「Enable Windows Hello confirmation(Windows Hello確認を有効にする)」や「Windows Hello settings out of sync with Okta Verify(Windows Helloの設定がOkta Verifyと同期していない)」が表示されます。
Windows向けのOkta Verifyは、インライン修復をサポートしていません。ユーザーは、ユーザー検証を必要とするリソースにアクセスには、Okta Verifyアプリでユーザー検証を有効にする必要があります。
ユーザー検証のベストプラクティス
-
[Required with biometrics only(生体認証でのみ必須)]設定は、最も強力なセキュリティを提供しますが、生体認証をサポートしていないデバイスで登録の問題が生じる可能性があります。
-
[Preferred(推奨)]設定は、最も柔軟なユーザーエクスペリエンスを提供します。
-
Windowsオペレーティングシステムには、[Required(必須)]と[Required with biometrics only(生体認証でのみ必須)]オプションが同じ動作をするという固有の制約があります。
-
Okta Verifyは、ユーザーのデバイス設定と構成されたポリシーが同期していない場合に、修復プロンプトを表示します。
アプリ・サインイン・ポリシーでの生体認証によるユーザー検証
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
[Biometric user verification in authentication policies(認証ポリシーでの生体認証によるユーザー検証)]機能を有効にすると、生体認証を要求するポリシールールを構成できるようになります。
アプリサインインポリシールール
Okta Verify PushまたはOkta FastPassで認証する際のユーザーエクスペリエンスは、次のようないくつかの条件によって決まります。
-
アプリサインインポリシーで構成されている所有要素の制約。「アプリ・サインイン・ポリシーでの生体認証によるユーザー検証」を参照してください。
-
Okta Verify用に構成したユーザー検証登録設定。
-
ユーザーが登録時に選択した検証オプション
シナリオ1
-
アプリサインインポリシールールの要件:[Any method(任意の方法)]
-
Okta Verify登録:[Preferred(推奨)]
デバイスパスコード | 生体認証 | 結果 |
---|---|---|
有効でない | 有効でない | ユーザーはOkta Verifyプロンプトに応答することで認証します。 |
有効 | 有効でない | ユーザーはデバイスパスコードを使用して認証します。 |
有効 | 有効 | ユーザーはデバイスパスコードを使用して認証します。 |
シナリオ2
-
アプリサインインポリシールールの要件:[Any method(任意の方法)]
-
Okta Verify登録:[Required(必須)]
デバイスパスコード | 生体認証 | 結果 |
---|---|---|
有効でない | 有効でない |
|
有効 | 有効でない | ユーザーはデバイスパスコードを使用して認証します。 |
有効 | 有効 | ユーザーはデバイスパスコードを使用して認証します。 |
シナリオ3
-
アプリサインインポリシールールの要件:[Any method(任意の方法)]
-
Okta Verify登録:[Required with biometrics only(生体認証でのみ必須)]
デバイスパスコード | 生体認証 | 結果 |
---|---|---|
有効でない | 有効でない |
|
有効 | 有効でない |
|
有効 | 有効 |
|
シナリオ4
-
アプリサインインポリシールールの要件:[Require PIN or biometric user verification(PINまたは生体認証によるユーザー検証を求める)]
-
Okta Verify登録:[Preferred(推奨)]または[Required(必須)]
デバイスパスコード | 生体認証 | 結果 |
---|---|---|
有効でない | 有効でない | ユーザーが認証するときに、デバイスのパスコードをセットアップするよう求められます。 |
有効 | 有効でない | ユーザーはデバイスパスコードを使用して認証します。 |
有効 | 有効 | ユーザーはデバイスパスコードを使用して認証します。 |
シナリオ5
-
アプリサインインポリシールールの要件:[Require PIN or biometric user verification(PINまたは生体認証によるユーザー検証を求める)]
-
Okta Verify登録:または[Required with biometrics only(生体認証でのみ必須)]
デバイスパスコード | 生体認証 | 結果 |
---|---|---|
有効でない | 有効でない |
|
有効 | 有効でない |
|
有効 | 有効 |
|
シナリオ6
この認証シナリオでは、ユーザーエクスペリエンスはOkta Verifyアカウントの状態によって決まります。Okta Verify登録設定は、認証フローに影響しません。
-
アプリサインインポリシールールの要件:[Require PIN or biometric user verification(PINまたは生体認証によるユーザー検証を求める)]
-
Okta Verify登録:[Preferred(推奨)]、[Required(必須)]、または[Required with biometrics only(生体認証でのみ必須)]
デバイスパスコード | 生体認証 | 結果 |
---|---|---|
有効でない | 有効でない |
|
有効 | 有効でない |
|
有効 | 有効 |
|
Windowsの制約により、OktaはWindows Hello PINの使用を防止できません。
生体認証を必須とするようにOkta Verify登録を構成した場合でも、Windows Hello PINのみを有効にしたユーザーはOkta Verifyの登録要件を満たします。
生体認証によるユーザー検証のベストプラクティス
生体認証によるユーザー検証を必須とするアプリ・サインイン・ポリシーを構成する際には、例外的なケースに対処するためのルールを別途作成してください。
-
生体認証をサポートしていないデバイス向けの専用ルールを作成します。
-
Windowsユーザー向けの専用ルールを作成し、ユーザーインタラクションを[Require device passcode or biometric user verification(デバイスパスコードまたは生体認証によるユーザー検証を必須とする)]に設定します。
ポリシールールで生体認証によるユーザー検証を要求する場合、Okta Verify登録時にWindows Hello PINしかセットアップしていないWindowsユーザーについては、認証が失敗します。