フィッシング耐性のあるオンボーディングフローを構成する

限定早期アクセスリリース

ジャーニーの最初の部分では、グループ管理、Authenticatorのセットアップ、ポリシーの構成のタスクを実行します。各タスクを順番に完了してから次のステップに進みます。

はじめに

[User enumeration prevention(ユーザーによる列挙の防止)]が無効になっていることを確認します。Admin Consoleで、[Security(セキュリティ)] [General(一般)] [User enumeration prevention(ユーザーによる列挙の防止)]の順に進みます。[Authentication(認証)][Recovery(復旧)]のチェックボックスをオフにしてから、[Save(保存)]をクリックします。

YubiKeyユーザーのグループを作成する

  1. Admin Consoleで、[Directory(ディレクトリ)][Groups(グループ)]に移動します。

  2. [Add group(グループを追加)]をクリックします。
  3. 2つのグループを作成し、それぞれにYubiKey 5 NFCYubiKey 5C NFCという名前を付けます。
  4. [Save(保存)]をクリックします。

FIDO2(WebAuthn)Authenticatorを構成する

  1. [Security(セキュリティ)][Authenticator(オーセンティケーター)]に移動します。
  2. [Setup(設定)]タブで、[Add Authenticator(オーセンティケーターを追加)]をクリックします。
  3. [FIDO2(WebAuthn)]タイルの[Add(追加)]をクリックします。
  4. [User verification(ユーザー検証)][Preferred(推奨)]に設定します。
  5. [Add(追加)]をクリックします。
  6. 任意。ユーザーがYubiKeyをなくした場合でもOktaアカウントにアクセスできるように、フィッシング耐性のあるAuthenticatorをもう1つ追加します。「Okta FastPass」を参照してください。

グローバルセッションポリシーを構成する

  1. グローバルセッションポリシーを作成します[Assign to Groups(グループに割り当てる)]フィールドに、YubiKey 5 NFCYubiKey 5C NFCを入力します。
  2. グローバルセッションポリシールールを追加します。次の条件を設定します。
    • [Establish the user session with(次を使用してユーザーセッションを確立:)]:[Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]
    • [Multifactor authentication (MFA)(多要素認証(MFA))]:必須
    • [Users will be prompted for MFA(ユーザーにMFA用のプロンプトを表示)]:サインインごと
  3. このポリシーを優先度リストの一番上に移動します。

Authenticator登録ポリシーを構成する

  1. Authenticator登録ポリシーを作成します。次の条件を設定します。

    • [Assign to Groups(グループに割り当てる)]YubiKey 5 NFCYubiKey 5C NFC
    • [Authenticators]
      • FIDO2(WebAuthn):必須
      • 許可されるAuthenticators:任意のWebAuthn Authenticator
      • Okta Verify:必須または任意
      • その他すべてのAuthenticatorを無効にします。
  2. Authenticator登録ポリシールールを構成します。次の条件を設定します。
    • [User is accessing(ユーザーがアクセスしています)]:Oktaおよびアプリケーション。MFA登録をサポートする任意のアプリケーションを選択します。
    • [Enrollment(登録)]:必須Authenticatorがない場合に許可
  3. このポリシーを優先度リストの一番上に移動します。

認証ポリシーを構成する

  1. 認証ポリシーを作成します
  2. 認証ポリシールールを追加します。次の条件を設定します。
    • [User's group membership includes(ユーザーのグループメンバーシップ)]:[At least one of the following groups(次のグループのうち少なくとも1つ:)]。グループ名を入力:YubiKey 5 NFCYubiKey 5C NFC
    • [User must authenticate with(ユーザーが使用する認証方法)]:[Any 2 factor type(任意の2要素タイプ)]
    • [Possession factor constraints are(所有要素の制約)]:フィッシング耐性
  3. このルールを優先度リストの一番上に移動します。
  4. [Applications(アプリケーション)]タブで、[Add app(アプリを追加)]をクリックします。
  5. Okta Dashboardアプリをポリシーに追加します。YubiKeyユーザーに割り当てるその他のアプリを検索し、それらをポリシーに追加します。
  6. [Close(閉じる)]をクリックします。

パスワードポリシーを構成する

  1. パスワードAuthenticatorを構成し[Add New Password Policy(新しいパスワードポリシーを追加)]を選択します。
    • [Add groups(グループを追加)]YubiKey 5 NFCYubiKey 5C NFC
    • デフォルトのオプションのままにします。
  2. パスワードAuthenticatorを構成します[User can perform self-service(ユーザーは次をセルフサービスで実行可能)]のオプションをすべてオフにします。
  3. このポリシーを優先度リストの一番上に移動します。

次の手順

YubiKeyとOkta間のフローを設定する