FIDO2(WebAuthn)Authenticatorとフィッシング耐性のあるポリシーをセットアップする
この一連のタスクでは、FIDO2(WebAuthn)Authenticatorと、フィッシング耐性のあるAuthenticatorを必須とするポリシーを構成する方法について説明します。
開始する前に
-
[User enumeration prevention(ユーザーによる列挙の防止)]を無効にする
-
Admin Consoleで、 の順に進み、[Edit(編集)]をクリックします。
-
[Authentication(認証)]と[Recovery(復旧)]のチェックボックスをオフにします。[Save(保存)]をクリックします。
-
-
FIDO2(WebAuthn)Authenticatorを構成します。[User verification(ユーザー検証)]を[Preferred(推奨)]に設定します。
-
任意。Oktaでは、Okta FastPassなどのフィッシング耐性のある別のAuthenticatorを追加することを推奨します。こうすることで、ユーザーはYubiKeyを紛失した場合でもOktaアカウントにアクセスできるようになります。
新規および既存ユーザーのグループを作成する
-
Admin Consoleで、 に移動します。
-
[Add group(グループを追加)]をクリックします。
-
新規および既存ユーザーのグループを作成し、それらのグループに適切な名前を付けます。たとえば、「新規従業員」や「既存従業員」などです。
-
[Save(保存)]をクリックします。
作成したフィッシング耐性のあるポリシーをこれらのグループに適用します。
グローバルセッションポリシーを構成する
-
グローバルセッションポリシーを作成します。そのポリシーを新規および既存ユーザーグループに割り当てます。
-
グローバルセッションポリシールールを追加します。次の条件を設定します。
-
[Establish the user session with(次を使用してユーザーセッションを確立)]:認証ポリシーの要件を満たすために使用される任意の要素
-
[Multifactor authentication (MFA)(多要素認証(MFA))]:必須
-
[Users will be prompted for MFA(ユーザーにMFA用のプロンプトを表示)]:ユーザーのサインインごと
-
-
このポリシーを優先度リストの一番上に移動します。
Authenticator登録ポリシーを構成する
既存ユーザーの場合は、適用されるAuthenticator登録ポリシーを[FIDO2 (WebAuthn)]:[Required(必須)]または[Optional(任意)]に設定します。
新規ユーザーの場合は、以下の手順を実行します。
-
Authenticator登録ポリシーを作成します。そのポリシーを新規および既存ユーザーグループに割り当てます。
-
Authenticatorの次の条件を設定します。
-
[FIDO2 (WebAuthn)(FIDO2(WebAuthn))]:[必須]
-
[Allowed authenticators(許可されるAuthenticator)]:任意のWebAuthn Authenticator
-
Okta Verify:[Required(必須)]または[Optional(任意)]
-
その他のAuthenticatorが[Required(必須)]、[Optional(任意)]、[Disabled(無効)]のどれであるかを定義します。
-
-
Authenticator登録ポリシールールを構成します。次の条件を設定します。
-
[User is accessing(ユーザーがアクセスしています)]:[Okta]と[Applications(アプリケーション)]を両方選択します。[Any app that supports MFA enrollment(MFA登録をサポートする任意のアプリ)]を選択します。
-
[Enrollment(登録)]:必須Authenticatorがない場合に許可
-
-
このポリシーを優先度リストの一番上に移動します。
Okta Dashboardの認証ポリシーを構成する
-
Admin Consoleで に移動します。
-
[Okta Dashboard(Oktaダッシュボード)]をクリックします。
-
認証ポリシールールを追加します。次の条件を設定します。
-
[User's group membership includes(ユーザーのグループメンバーシップ)]:[At least one of the following groups(次のグループのうち少なくとも1つ:)]。新規および既存ユーザーグループを入力します。
-
[User must authenticate with(ユーザーが使用する認証方法)]:任意の2要素タイプ
-
[Possession factor constraints are(所有要素の制約)]:[Phishing resistant(フィッシング耐性)]、[Require user interaction(ユーザーインタラクションが必要)]、[Require PIN or biometric user verification(PINまたは生体認証によるユーザー検証が必要)]
-
-
このルールを優先度リストの一番上に移動します。
-
[Applications(アプリケーション)]タブで、[Add app(アプリを追加)]をクリックします。
-
Okta Dashboardアプリをポリシーに追加します。これらのユーザーに割り当てるその他のアプリを検索し、それらをポリシーに追加します。
-
[Close(閉じる)]をクリックします。