フィッシング耐性のあるオンボーディングフローを構成する
限定早期アクセスリリース
ジャーニーの最初の部分では、グループ管理、Authenticatorのセットアップ、ポリシーの構成のタスクを実行します。各タスクを順番に完了してから次のステップに進みます。
はじめに
[User enumeration prevention(ユーザーによる列挙の防止)]が無効になっていることを確認します。Admin Consoleで、 の順に進みます。[Authentication(認証)]と[Recovery(復旧)]のチェックボックスをオフにしてから、[Save(保存)]をクリックします。
YubiKeyユーザーのグループを作成する
-
Admin Consoleで、 に移動します。
- [Add group(グループを追加)]をクリックします。
- 2つのグループを作成し、それぞれにYubiKey 5 NFCとYubiKey 5C NFCという名前を付けます。
- [Save(保存)]をクリックします。
FIDO2(WebAuthn)Authenticatorを構成する
- に移動します。
- [Setup(設定)]タブで、[Add Authenticator(オーセンティケーターを追加)]をクリックします。
- [FIDO2(WebAuthn)]タイルの[Add(追加)]をクリックします。
- [User verification(ユーザー検証)]を[Preferred(推奨)]に設定します。
- [Add(追加)]をクリックします。
- 任意。ユーザーがYubiKeyをなくした場合でもOktaアカウントにアクセスできるように、フィッシング耐性のあるAuthenticatorをもう1つ追加します。「Okta FastPass」を参照してください。
グローバルセッションポリシーを構成する
- グローバルセッションポリシーを作成します。[Assign to Groups(グループに割り当てる)]フィールドに、YubiKey 5 NFCとYubiKey 5C NFCを入力します。
- グローバルセッションポリシールールを追加します。次の条件を設定します。
- [Establish the user session with(次を使用してユーザーセッションを確立:)]:[Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]
- [Multifactor authentication (MFA)(多要素認証(MFA))]:必須
- [Users will be prompted for MFA(ユーザーにMFA用のプロンプトを表示)]:サインインごと
- このポリシーを優先度リストの一番上に移動します。
Authenticator登録ポリシーを構成する
-
Authenticator登録ポリシーを作成します。次の条件を設定します。
- [Assign to Groups(グループに割り当てる)]:YubiKey 5 NFCとYubiKey 5C NFC。
- [Authenticators]:
- FIDO2(WebAuthn):必須
- 許可されるAuthenticators:任意のWebAuthn Authenticator
- Okta Verify:必須または任意
- その他すべてのAuthenticatorを無効にします。
- Authenticator登録ポリシールールを構成します。次の条件を設定します。
- [User is accessing(ユーザーがアクセスしています)]:Oktaおよびアプリケーション。MFA登録をサポートする任意のアプリケーションを選択します。
- [Enrollment(登録)]:必須Authenticatorがない場合に許可
- このポリシーを優先度リストの一番上に移動します。
認証ポリシーを構成する
- 認証ポリシーを作成します。
- 認証ポリシールールを追加します。次の条件を設定します。
- [User's group membership includes(ユーザーのグループメンバーシップ)]:[At least one of the following groups(次のグループのうち少なくとも1つ:)]。グループ名を入力:YubiKey 5 NFCとYubiKey 5C NFC
- [User must authenticate with(ユーザーが使用する認証方法)]:[Any 2 factor type(任意の2要素タイプ)]
- [Possession factor constraints are(所有要素の制約)]:フィッシング耐性
- このルールを優先度リストの一番上に移動します。
- [Applications(アプリケーション)]タブで、[Add app(アプリを追加)]をクリックします。
- Okta Dashboardアプリをポリシーに追加します。YubiKeyユーザーに割り当てるその他のアプリを検索し、それらをポリシーに追加します。
- [Close(閉じる)]をクリックします。
パスワードポリシーを構成する
- パスワードAuthenticatorを構成し、[Add New Password Policy(新しいパスワードポリシーを追加)]を選択します。
- [Add groups(グループを追加)]:YubiKey 5 NFCとYubiKey 5C NFC。
- デフォルトのオプションのままにします。
- パスワードAuthenticatorを構成します。[User can perform self-service(ユーザーは次をセルフサービスで実行可能)]のオプションをすべてオフにします。
- このポリシーを優先度リストの一番上に移動します。