フィッシング耐性のあるAuthenticatorの登録

フィッシング耐性のあるAuthenticatorの登録を構成することで、orgのセキュリティを強化できます。

はじめに

  • フィッシング耐性のあるAuthenticatorを構成します。「フィッシング耐性のある認証」を参照してください。ユーザーが必ずフィッシング耐性のある方法でOkta Verifyに登録するように、Okta Verifyの構成時に[Higher security methods(より高いセキュリティ方式)]を選択します。このオプションにより、ユーザーは登録にQRコード、メール、SMSリンクを使用できません。「Okta Verifyオプションの構成」を参照してください。

  • 既存のフィッシング耐性のあるAuthenticatorを必須にするようにAuthenticator登録を構成します。この機能を有効にするには、Admin Console [Settings(設定)]に移動し、[Require phishing-resistant authenticator to enroll additional Authenticator(追加Authenticatorの登録にフィッシング耐性のあるAuthenticatorを必須とする)]のトグルをクリックします。この早期アクセス機能が有効になっている場合、ユーザーは追加のAuthenticatorに登録する前にFIDO2 WebAuthnまたはOkta FastPassで認証する必要があります。

エンドユーザーエクスペリエンス

ユーザーがフィッシング耐性のあるAuthenticatorを持っていない

ユーザーは多要素認証に登録するとき、またはOktaに次回サインインするときに、フィッシング耐性のあるAuthenticatorに登録するよう求められます。ユーザーが後で別のAuthenticatorを追加する場合は、最初にフィッシング耐性のあるAuthenticatorで認証する必要があります。

ユーザーがフィッシング耐性のあるAuthenticatorに登録していないときは、Authenticator登録ポリシーで定義されている保証要件を満たす任意のAuthenticatorに登録できます。

ユーザーがフィッシング耐性のあるAuthenticatorを少なくとも1つ持っている

  • ユーザーがデバイスにOkta FastPassをセットアップしている場合は、それを使用して同じデバイスで別のAuthenticator(WebAuthnやハードウェアキーなど)に登録できます。[Add account to another device(別のデバイスにアカウントを追加)]オプションを使用することで、Okta Verifyアプリケーションを使用して他のデバイスを登録することもできます。AndroidiOSmacOS、およびWindowsデバイスのエンドユーザー向けドキュメントを参照してください。

  • ユーザーがFIDO 2 YubiKeyなどのローミングAuthenticatorに登録している場合は、それを任意のデバイスに挿入し、そのデバイスでWebAuthnまたはOkta FastPassに登録できます。

  • ユーザーがWebAuthnなどのデバイスバウンドAuthenticatorを所有している場合は、それを使用して同じデバイスでOkta FastPassに登録できます。その後、Okta Verify[Add account to another device(別のデバイスにアカウントを追加)]オプションを使用して他のデバイスを登録できます。

関連トピック

FIDO2(WebAuthn) Authenticatorを構成する

Okta FastPass

多要素認証