フィッシング耐性のある認証
フィッシング耐性のある認証は、偽のアプリやWebサイトへの機密認証データの公開を検出して防止します。FIDO2(WebAuthn)とOkta FastPass(Okta Verifyに付属)は、メール、SMS、ソーシャルメディアのフィッシング攻撃を防ぐフィッシング耐性認証システムです。また、デバイスやネットワークがすでに侵害されている場合に、攻撃の影響を軽減することもできます。
手順
ユーザーにフィッシング耐性のある要素タイプでサインインさせるには、次の手順に従います。
-
iOSまたはmacOS管理対象デバイス向けのOkta FastPassを使用するときは、SSO拡張機能プロファイルを構成します。
- 「iOSデバイスのSSO拡張機能を構成する」を参照してください。
- 「管理対象のmacOSデバイスのSSO拡張機能を構成する」を参照してください。
-
Okta FastPassまたはFIDO2(WebAuthn)のAuthenticator登録ポリシーを構成します。「Authenticator登録ポリシーを作成する」を参照してください。
-
フィッシングに耐性のある所有要素を必要とするAuthenticationポリシーを設定します:FIDO2(WebAuthn)またはOkta FastPass。「認証ポリシールールを追加する」を参照してください。
ユーザーエクスペリエンス
アプリがフィッシング対策を必要とするポリシーによって保護されている場合、ユーザーはOkta FastPassまたはFIDO2(WebAuthn)を使用してサインインできます。Okta FastPassがサポートされていない場合、ユーザーはFIDO2(WebAuthn)でサインインするよう求められます。
Okta FastPassまたはFIDO2(WebAuthn)を使用した認証は、ユーザーが直接またはサポートされているブラウザーからアプリにアクセスする場合、すべてのサポートされているオペレーティングシステムでフィッシングに耐性があります。いくつかの制限事項があります。
- WebViewの実装が原因で、一部のアプリはOktaのフィッシング耐性のある認証をサポートしません。ユーザーがこのタイプのアプリにアクセスし、ポリシーがフィッシング耐性を求める場合、認証は失敗し、「アクセスは拒否されました」というメッセージが返されます。
- macOSでは、SafariでのOkta FastPassを使った認証がフィッシング耐性を持つようにSSO拡張機能を構成します。
- ユニバーサルWindowsプラットフォームアプリでは、フィッシング耐性のある認証がサポートされるようにスクリプトを実行する必要があります。
ユーザーの認証時にフィッシングが試行される場合、そのイベントはSystem Logに記録されます。「Okta FastPassはフィッシング試行を拒否しました」のようなメッセージがログに記録されます。