FIDO2(WebAuthn)Authenticatorとフィッシング耐性のあるポリシーをセットアップする

この一連のタスクでは、FIDO2(WebAuthn)Authenticatorと、フィッシング耐性のあるAuthenticatorを必須とするポリシーを構成する方法について説明します。

開始する前に

  • [User enumeration prevention(ユーザーによる列挙の防止)]を無効にする

    1. Admin Consoleで、[Security(セキュリティ)][General(一般)][User enumeration prevention(ユーザーによる列挙の防止)]の順に進み、[Edit(編集)]をクリックします。

    2. [Authentication(認証)][Recovery(復旧)]のチェックボックスをオフにします。[Save(保存)]をクリックします。

  • FIDO2(WebAuthn)Authenticatorを構成します[User verification(ユーザー検証)][Preferred(推奨)]に設定します。

  • 任意。Oktaでは、Okta FastPassなどのフィッシング耐性のある別のAuthenticatorを追加することを推奨します。こうすることで、ユーザーはYubiKeyを紛失した場合でもOktaアカウントにアクセスできるようになります。

新規および既存ユーザーのグループを作成する

  1. Admin Consoleで、[Directory(ディレクトリ)][Groups(グループ)]に移動します。

  2. [Add group(グループを追加)]をクリックします。

  3. 新規および既存ユーザーのグループを作成し、それらのグループに適切な名前を付けます。たとえば、「新規従業員」や「既存従業員」などです。

  4. [Save(保存)]をクリックします。

作成したフィッシング耐性のあるポリシーをこれらのグループに適用します。

グローバルセッションポリシーを構成する

  1. グローバルセッションポリシーを作成します。そのポリシーを新規および既存ユーザーグループに割り当てます。

  2. グローバルセッションポリシールールを追加します。次の条件を設定します。

    • [Establish the user session with(次を使用してユーザーセッションを確立)]:認証ポリシーの要件を満たすために使用される任意の要素

    • [Multifactor authentication (MFA)(多要素認証(MFA))]:必須

    • [Users will be prompted for MFA(ユーザーにMFA用のプロンプトを表示)]:ユーザーのサインインごと

  3. このポリシーを優先度リストの一番上に移動します。

Authenticator登録ポリシーを構成する

既存ユーザーの場合は、適用されるAuthenticator登録ポリシーを[FIDO2 (WebAuthn)]:[Required(必須)]または[Optional(任意)]に設定します。

新規ユーザーの場合は、以下の手順を実行します。

  1. Authenticator登録ポリシーを作成します。そのポリシーを新規および既存ユーザーグループに割り当てます。

  2. Authenticatorの次の条件を設定します。

    • [FIDO2 (WebAuthn)(FIDO2(WebAuthn))]:[必須]

    • [Allowed authenticators(許可されるAuthenticator)]:任意のWebAuthn Authenticator

    • Okta Verify[Required(必須)]または[Optional(任意)]

    • その他のAuthenticatorが[Required(必須)][Optional(任意)][Disabled(無効)]のどれであるかを定義します。

  3. Authenticator登録ポリシールールを構成します。次の条件を設定します。

    • [User is accessing(ユーザーがアクセスしています)][Okta][Applications(アプリケーション)]を両方選択します。[Any app that supports MFA enrollment(MFA登録をサポートする任意のアプリ)]を選択します。

    • [Enrollment(登録)]:必須Authenticatorがない場合に許可

  4. このポリシーを優先度リストの一番上に移動します。

Okta Dashboardの認証ポリシーを構成する

  1. Admin Console[Security(セキュリティ)][Authentication Policies(認証ポリシー)]に移動します。

  2. [Okta Dashboard(Oktaダッシュボード)]をクリックします。

  3. 認証ポリシールールを追加します。次の条件を設定します。

    • [User's group membership includes(ユーザーのグループメンバーシップ)]:[At least one of the following groups(次のグループのうち少なくとも1つ:)]。新規および既存ユーザーグループを入力します。

    • [User must authenticate with(ユーザーが使用する認証方法)]:任意の2要素タイプ

    • [Possession factor constraints are(所有要素の制約)][Phishing resistant(フィッシング耐性)][Require user interaction(ユーザーインタラクションが必要)][Require PIN or biometric user verification(PINまたは生体認証によるユーザー検証が必要)]

  4. このルールを優先度リストの一番上に移動します。

  5. [Applications(アプリケーション)]タブで、[Add app(アプリを追加)]をクリックします。

  6. Okta Dashboardアプリをポリシーに追加します。これらのユーザーに割り当てるその他のアプリを検索し、それらをポリシーに追加します。

  7. [Close(閉じる)]をクリックします。

次の手順

YubiKey配送用のOkta Workflowsをセットアップする