FIDO2(WebAuthn)Authenticatorとフィッシング耐性のあるポリシーをセットアップする

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

この一連のタスクでは、FIDO2(WebAuthn)Authenticatorと、フィッシング耐性のあるAuthenticatorを必須とするポリシーを構成する方法について説明します。

開始する前に

  • [User enumeration prevention(ユーザーによる列挙の防止)]を無効にするAdmin Consoleで、[Security(セキュリティ)][General(一般)][User enumeration prevention(ユーザーによる列挙の防止)]の順に進みます。[Authentication(認証)][Recovery(復旧)]のチェックボックスをオフにしてから、[Save(保存)]をクリックします。
  • FIDO2(WebAuthn)Authenticatorを構成します[User verification(ユーザー検証)][Preferred(推奨)]に設定します。
  • 任意。Oktaでは、Okta FastPassなどのフィッシング耐性のある別のAuthenticatorを追加することを推奨します。こうすることで、ユーザーはYubiKeyを紛失した場合でもOktaアカウントにアクセスできるようになります。

新規および既存ユーザーのグループを作成する

  1. Admin Consoleで、[Directory(ディレクトリ)][Groups(グループ)]に移動します。

  2. [Add group(グループを追加)]をクリックします。
  3. 新規および既存ユーザーのグループを作成し、それらのグループに適切な名前を付けます。たとえば、「新規従業員」や「既存従業員」などです。
  4. [Save(保存)]をクリックします。

作成したフィッシング耐性のあるポリシーをこれらのグループに適用します。

グローバルセッションポリシーを構成する

  1. グローバルセッションポリシーを作成します。そのポリシーを新規および既存ユーザーグループに割り当てます。
  2. グローバルセッションポリシールールを追加します。次の条件を設定します。
    • [Establish the user session with(次を使用してユーザーセッションを確立:)]:[Any factor used to meet the Authentication Policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]
    • [Multifactor authentication (MFA)(多要素認証(MFA))]:必須
    • [Users will be prompted for MFA(ユーザーにMFA用のプロンプトを表示)]:サインインごと
  3. このポリシーを優先度リストの一番上に移動します。

Authenticator登録ポリシーを構成する

既存ユーザーの場合は、それらのユーザーに適用されるAuthenticator登録ポリシーが[FIDO2 (WebAuthn)(FIDO2(WebAuthn))]:[必須]または[任意]に設定されていることを確認します。

新規ユーザーの場合は、以下の手順を実行します。

  1. Authenticator登録ポリシーを作成します。そのポリシーを新規および既存ユーザーグループに割り当てます。
  2. Authenticatorの次の条件を設定します。
    • [FIDO2 (WebAuthn)(FIDO2(WebAuthn))]:[必須]
    • [Allowed authenticators(許可されるAuthenticator)]:任意のWebAuthn Authenticator
    • [Okta Verify]:[必須]または[任意]
    • 必要に応じて、その他のAuthenticatorが[必須]、[任意]、または[無効]のどれであるかを定義します。
  3. Authenticator登録ポリシールールを構成します。次の条件を設定します。
    • [User is accessing(ユーザーがアクセスしています)]:Oktaおよびアプリケーション。MFA登録をサポートする任意のアプリケーションを選択します。
    • [Enrollment(登録)]:必須Authenticatorがない場合に許可
  4. このポリシーを優先度リストの一番上に移動します。

Okta Dashboardの認証ポリシーを構成する

  1. Admin Console[Security(セキュリティ)][Authentication Policies(認証ポリシー)]に移動します。

  2. Okta Dashboardをクリックします。
  3. 認証ポリシールールを追加します。次の条件を設定します。
    • [User's group membership includes(ユーザーのグループメンバーシップ)]:[At least one of the following groups(次のグループのうち少なくとも1つ:)]。新規および既存ユーザーグループを入力します。
    • [User must authenticate with(ユーザーが使用する認証方法)]:[Any 2 factor type(任意の2要素タイプ)]
    • [Possession factor constraints are(所有要素の制約)]:[フィッシング耐性]、[ユーザーインタラクションが必要]、[PINが必要]、または[生体認証によるユーザー検証]
  4. このルールを優先度リストの一番上に移動します。
  5. [Applications(アプリケーション)]タブで、[Add app(アプリを追加)]をクリックします。
  6. Okta Dashboardアプリをポリシーに追加します。これらのユーザーに割り当てるその他のアプリを検索し、それらをポリシーに追加します。
  7. [Close(閉じる)]をクリックします。

次の手順

YubiKey配送用のOkta Workflowsをセットアップする