追加オーセンティケーターの登録にフィッシング耐性のあるオーセンティケーターを必須とする

ユーザーがOktaに初めてオンボーディングすると、管理者が認証登録ポリシーと認証ポリシーをどのように構成したかに応じて、少なくとも2つのオーセンティケーターに登録するよう求められる場合があります。また、ユーザーがアプリに直接サインインし、そのアプリのアシュアランス要件を満たすために必要なオーセンティケーターがまだ登録されていない場合は、インライン多要素認証(MFA)登録も求められる場合があります。この後、ユーザーが追加のオーセンティケーターに登録すると、Oktaはユーザーがアシュアランス要件を満たせることを確認するために追加のチェックを実行します。ユーザーがすでに2つのオーセンティケーターに登録していて、それらのオーセンティケーターがアシュアランス要件(所有、固有、または知識を実証する必要性など)を満たす場合、ユーザーは追加のオーセンティケーターに登録できます。場合によっては、FIDO2(WebAuthn)などの特定のオーセンティケーターが複数のアシュアランス要件を満たすことがあります。この場合、ユーザーは追加のオーセンティケーターに登録する前に、その1つのオーセンティケーターで認証するだけで済みます。オーセンティケーターとその要素タイプおよび方式の特徴の詳細については、「多要素認証」「MFAオーセンティケーターについて」を参照してください。

管理者はまた、ユーザーがオンボーディング中に登録するオーセンティケーターが、FIDO2(WebAuthn)(生体認証およびセキュリティ・キーベースの検証)やOkta FastPassなどのフィッシング耐性のあるオーセンティケーターであることを必須にする場合があります。管理者が[Require phishing-resistant authenticator to enroll additional authenticators(追加オーセンティケーターの登録にフィッシング耐性のあるオーセンティケーターを必須とする)]を有効にした場合、ユーザーは追加のオーセンティケーターに登録する前に、まずフィッシング耐性のあるオーセンティケーターを使用して自分のIDを検証する必要があります。

FIDO2(WebAuthn)Okta FastPassはフィッシング耐性のあるオーセンティケーターです。ユーザーが誰かに教えることができるパスワードやワンタイム・パスワードなどの情報がテキスト・メッセージや認証アプリに存在しないからです。追加のオーセンティケーターを追加するためにフィッシング耐性のあるオーセンティケーターをユーザー認証に使用することを必須にすると、ユーザー検証プロセスがフィッシングの試みから保護されることが保証されるため、安心できます。

新しいMFA登録にフィッシング耐性のあるオーセンティケーターを必須とする

この手順を実行すると、ユーザーはOktaへのオンボーディング中に、他のオーセンティケーターに登録する前にフィッシング耐性のあるオーセンティケーターにまず登録するよう求められます。

  1. FIDO2(WebAuthn)オーセンティケーターをアクティベートします。手順については、「FIDO2(WebAuthn)オーセンティケーターを構成する」を参照してください。

  2. Okta Verifyオーセンティケーターをアクティブ化し、Okta FastPassを有効にします。「Okta Verifyオーセンティケーターの構成」「Okta Verifyオプションの構成」を参照してください。

  3. 認証登録ポリシーを作成します。手順については、「認証登録ポリシーを作成する」を参照してください。

  4. [Eligible authenticators(対象オーセンティケーター)]リストで、FIDO2(WebAuthn)および/またはOkta Verifyオーセンティケーターについて[Required(必須)]を選択します。

  5. 認証登録ポリシー・ルールを構成します。手順については、「認証登録ポリシールールを構成する」を参照してください。

  6. Okta Admin Consoleで、[Settings(設定)]>[Features(機能)]に移動します。

  7. [Require phishing-resistant authenticator to enroll additional authenticators(追加オーセンティケーターの登録にフィッシング耐性のあるオーセンティケーターを必須とする)]のトグル・スイッチをクリックしてこのオプションを有効にします。

エンドユーザー・エクスペリエンス

Oktaへのオンボーディング中にフィッシング耐性のあるオーセンティケーターに登録する

[Require phishing-resistant authenticator to enroll additional authenticators(追加オーセンティケーターの登録にフィッシング耐性のあるオーセンティケーターを必須とする)]がアクティブ化されると、ユーザーはOktaへのオンボーディング中、またはOktaに次回サインインしたときに、MFAへの初回登録時にフィッシング耐性のあるオーセンティケーターに登録する必要があります。

その後、管理者がユーザーに対して有効にした他のオーセンティケーターに登録できます。ユーザーは、追加のオーセンティケーターに登録するときにフィッシング耐性のあるオーセンティケーターで認証する必要があります。

Oktaでは、フィッシング耐性のある最初のオーセンティケーターとしてローミング・オーセンティケーター(FIDO2(WebAuthn)セキュリティ・キーなど)に登録することを推奨します。こうすることで、後で追加のラップトップ、デスクトップ、モバイル・デバイスを登録することが可能になるからです。ユーザーがOkta FastPassに登録した場合、このオーセンティケーターは追加のモバイル・デバイスの登録にのみ使用できます。ラップトップやデスクトップの登録には使用できません。

これらのオーセンティケーターに登録する手順については、「FIDO2(WebAuthn)オーセンティケーターの構成」「Okta FastPass」を参照してください。

別のラップトップまたはデスクトップでMFAに登録する

ユーザーが別のデバイスでMFAに登録しようとするとき、ユーザーは別のラップトップまたはデスクトップで自分のIDを検証するのにセキュリティ・キーまたはOkta FastPassしか使用できない場合があります。セキュリティ・キーを使用する場合は、最初のデバイスでフィッシング耐性のあるオーセンティケーターに初めて登録したときに使用したセキュリティ・キーを使用する必要があります。

ユーザーがセキュリティ・キーなどのローミング・オーセンティケーターに登録していない場合、デバイスのタイプによっては他のデバイスで登録を完了できなくなることがあります。

ユーザーがセキュリティ・キーまたはOkta FastPassで検証に合格すると、Oktaは管理者がユーザーに対して有効にした他のオーセンティケーターを提示し、ユーザーは通常の方法でオーセンティケーターに登録します。

オーセンティケーターに登録する手順については、「多要素認証」を参照してください。登録するオーセンティケーターを選択します。

モバイル・デバイスでOkta FastPassに登録する

この手順では、[Require phishing-resistant authenticator to enroll additional authenticators(追加オーセンティケーターの登録にフィッシング耐性のあるオーセンティケーターを必須とする)]が有効になっており、ユーザーが自分でローミング・オーセンティケーターをまだ登録していない場合にユーザーがモバイル・デバイスでOkta FastPassに登録する方法について説明します。

  1. 最初のデバイス(通常はプライマリ・ラップトップまたはデスクトップ)で、Oktaへのオンボーディング中にOkta FastPassに登録します。手順については、「Okta FastPassを有効にする」を参照してください。

  2. 同じデバイスで、Oktaダッシュボードにサインインします。自分の名前をクリックし、[Settings(設定)]を選択します。

  3. [Security Methods(セキュリティ・メソッド)]セクションで、Okta Verify[Set up another(別のメソッドをセットアップ]をクリックします。

  4. Okta FastPassまたはFIDO2(WebAuthn)で認証します。

  5. モバイル・デバイスで、必要に応じて別のオーセンティケーターに登録します。追加のオーセンティケーターを追加する前に、フィッシング耐性のあるオーセンティケーターで認証するよう求められます。

考慮事項

  • ユーザーがフィッシング耐性のあるオーセンティケーターに登録しておらず、[Require phishing-resistant authenticator to enroll additional authenticators(追加オーセンティケーターの登録にフィッシング耐性のあるオーセンティケーターを必須とする)]がユーザーのorgに対してアクティブになっている場合でも、ユーザーは既存のオーセンティケーターを使用して追加オーセンティケーターに登録し、自分のIDを検証できます。

  • [Require phishing-resistant authenticator to enroll additional authenticators(追加オーセンティケーターの登録にフィッシング耐性のあるオーセンティケーターを必須とする)]がユーザーのorgに対してアクティブになっているのに管理者がまだFIDO2(WebAuthn)またはOkta FastPassオーセンティケーターをアクティブ化していない場合でも、ユーザーは既存のオーセンティケーターを使用して追加オーセンティケーターに登録し、自分のIDを検証できます。

関連項目

FIDO2(WebAuthn)オーセンティケーターの構成

Okta FastPass

多要素認証

MFAオーセンティケーターについて