FIDO2(WebAuthn)Authenticatorとフィッシング耐性のあるポリシーをセットアップする

この一連のタスクでは、FIDO2(WebAuthn)Authenticatorと、フィッシング耐性のあるAuthenticatorを必須とするポリシーを構成する方法について説明します。

開始する前に

  • [User enumeration prevention(ユーザーによる列挙の防止)]を無効にするAdmin Consoleで、[Security(セキュリティ)][General(一般)][User enumeration prevention(ユーザーによる列挙の防止)]の順に進みます。[Authentication(認証)][Recovery(復旧)]のチェックボックスをオフにしてから、[Save(保存)]をクリックします。
  • FIDO2(WebAuthn)Authenticatorを構成します[User verification(ユーザー検証)][Preferred(推奨)]に設定します。
  • 任意。Oktaでは、Okta FastPassなどのフィッシング耐性のある別のAuthenticatorを追加することを推奨します。こうすることで、ユーザーはYubiKeyを紛失した場合でもOktaアカウントにアクセスできるようになります。

新規および既存ユーザーのグループを作成する

  1. Admin Consoleで、[Directory(ディレクトリ)][Groups(グループ)]に移動します。

  2. [Add group(グループを追加)]をクリックします。
  3. 新規および既存ユーザーのグループを作成し、それらのグループに適切な名前を付けます。たとえば、「新規従業員」や「既存従業員」などです。
  4. [Save(保存)]をクリックします。

作成したフィッシング耐性のあるポリシーをこれらのグループに適用します。

グローバルセッションポリシーを構成する

  1. グローバルセッションポリシーを作成します。そのポリシーを新規および既存ユーザーグループに割り当てます。
  2. グローバルセッションポリシールールを追加します。次の条件を設定します。
    • [Establish the user session with(次を使用してユーザーセッションを確立)]:認証ポリシーの要件を満たすために使用される任意の要素
    • [Multifactor authentication (MFA)(多要素認証(MFA))]:必須
    • [Users will be prompted for MFA(ユーザーにMFA用のプロンプトを表示)]:ユーザーのサインインごと
  3. このポリシーを優先度リストの一番上に移動します。

Authenticator登録ポリシーを構成する

既存ユーザーの場合は、適用されるAuthenticator登録ポリシーを[FIDO2 (WebAuthn)]:[Required(必須)]または[Optional(任意)]に設定します。

新規ユーザーの場合は、以下の手順を実行します。

  1. Authenticator登録ポリシーを作成します。そのポリシーを新規および既存ユーザーグループに割り当てます。
  2. Authenticatorの次の条件を設定します。
    • [FIDO2 (WebAuthn)(FIDO2(WebAuthn))]:[必須]
    • [Allowed authenticators(許可されるAuthenticator)]:任意のWebAuthn Authenticator
    • [Okta Verify]:[必須]または[任意]
    • 必要に応じて、その他のAuthenticatorが[必須]、[任意]、または[無効]のどれであるかを定義します。
  3. Authenticator登録ポリシールールを構成します。次の条件を設定します。
    • [User is accessing(ユーザーがアクセスしています)]:Oktaとアプリ。MFA登録をサポートする任意のアプリを選択します。
    • [Enrollment(登録)]:必須Authenticatorがない場合に許可
  4. このポリシーを優先度リストの一番上に移動します。

Okta Dashboardの認証ポリシーを構成する

  1. Admin Console[Security(セキュリティ)][Authentication Policies(認証ポリシー)]に移動します。

  2. [Okta Dashboard(Oktaダッシュボード)]をクリックします。
  3. 認証ポリシールールを追加します。次の条件を設定します。
    • [User's group membership includes(ユーザーのグループメンバーシップ)]:[At least one of the following groups(次のグループのうち少なくとも1つ:)]。新規および既存ユーザーグループを入力します。
    • [User must authenticate with(ユーザーが使用する認証方法)]:任意の2要素タイプ
    • [Possession factor constraints are(所有要素の制約)]:フィッシング耐性、ユーザーインタラクションが必要、PINが必要、または生体認証によるユーザー検証
  4. このルールを優先度リストの一番上に移動します。
  5. [Applications(アプリケーション)]タブで、[Add app(アプリを追加)]をクリックします。
  6. Okta Dashboardアプリをポリシーに追加します。これらのユーザーに割り当てるその他のアプリを検索し、それらをポリシーに追加します。
  7. [Close(閉じる)]をクリックします。

次の手順

YubiKey配送用のOkta Workflowsをセットアップする