追加オーセンティケーターの登録にフィッシング耐性のあるオーセンティケーターを必須とする
Oktaでは、ユーザーが追加のオーセンティケーターに登録する前に、フィッシング耐性のあるオーセンティケーターを使用して自身を認証するようにユーザーに要求できます。
フィッシング耐性とは、テキストメッセージや認証アプリのパスワードやワンタイムパスワード (OTP)など、ユーザーが他人に提供できる情報がないことを意味します。 FIDO2(WebAuthn)とOkta FastPassは、共有可能な情報を作成しない認証方法を使用するため、フィッシング耐性のあるオーセンティケーターです。
ユーザーがフィッシング耐性のあるオーセンティケーターを登録しておらず、この機能がオンになっている場合でも、ユーザーは追加のオーセンティケーターに登録できます。ユーザーは、保証要件を満たす2つのオーセンティケータに登録する必要があります。
オーセンティケーターとその要素タイプおよび方式の特徴の詳細については、「多要素認証」と「MFAオーセンティケーターについて」を参照してください。
新しいMFA登録にフィッシング耐性のあるオーセンティケーターを必須とする
この手順を実行すると、ユーザーはOktaへのオンボーディング中に、他のオーセンティケーターに登録する前にフィッシング耐性のあるオーセンティケーターにまず登録するよう求められます。
-
FIDO2(WebAuthn)オーセンティケーターをアクティベートします。手順については、「FIDO2(WebAuthn)オーセンティケーターを構成する」を参照してください。
-
Okta Verifyオーセンティケーターをアクティブ化し、Okta FastPassを有効にします。「Okta Verifyオーセンティケーターの構成」と「Okta Verifyオプションの構成」を参照してください。
-
認証登録ポリシーを作成します。手順については、「認証登録ポリシーを作成する」を参照してください。
-
[Eligible authenticators(対象オーセンティケーター)]リストで、FIDO2(WebAuthn)および/またはOkta Verifyオーセンティケーターについて[Required(必須)]を選択します。
-
認証登録ポリシー・ルールを構成します。手順については、「認証登録ポリシールールを構成する」を参照してください。
-
管理コンソールで、 に移動します。
-
[Require phishing-resistant authenticator to enroll additional authenticators(追加オーセンティケーターの登録にフィッシング耐性のあるオーセンティケーターを必須とする)]のトグル・スイッチをクリックしてこのオプションを有効にします。
エンドユーザー・エクスペリエンス
Oktaへのオンボーディング中にフィッシング耐性のあるオーセンティケーターに登録する
この機能がオンになっている場合、ユーザーはOktaへのオンボーディング時、初めてMFAに登録する時、またはOkta にサインインする時に、フィッシング耐性のあるオーセンティケーターに登録する必要があります。
その後、他のオーセンティケーターに登録できます。追加のオーセンティケーターに登録する時、ユーザーはフィッシング耐性のあるオーセンティケーターで認証する必要があります。
Oktaでは、フィッシング耐性のある最初のオーセンティケーターとしてローミングオーセンティケーター(FIDO2(WebAuthn)セキュリティキーなど)に登録することを推奨します。これにより、後で追加のラップトップ、デスクトップ、モバイルデバイスを登録できるようになります。ユーザーがOkta FastPassに登録した場合、このオーセンティケーターは追加のモバイルデバイスの登録にのみ使用できます。ラップトップやデスクトップの登録には使用できません。
これらのオーセンティケーターに登録する手順については、「FIDO2(WebAuthn)オーセンティケーターの構成」と「Okta FastPass」を参照してください。
別のラップトップまたはデスクトップでMFAに登録する
ユーザーが別のデバイスでMFAに登録しようとするとき、ユーザーは別のラップトップまたはデスクトップで自分のIDを検証するのにセキュリティ・キーまたはOkta FastPassしか使用できない場合があります。セキュリティキーを使用する場合は、最初のデバイスでフィッシング耐性のあるオーセンティケーターに初めて登録したときに使用したセキュリティキーを使用する必要があります。
ユーザーがローミングオーセンティケーターに登録していない場合、デバイスのタイプによっては他のデバイスで登録を完了できなくなることがあります。
ユーザーがセキュリティキーまたはOkta FastPassで認証すると、Oktaは管理者がユーザーに対して有効にした他のオーセンティケーターを提示し、ユーザーは通常の方法でオーセンティケーターに登録します。
オーセンティケーターに登録する手順については、「多要素認証」を参照してください。登録するオーセンティケーターを選択します。
モバイルデバイスでOkta FastPassに登録する
この手順では、この機能が有効になっており、ユーザーが自分でローミングオーセンティケーターをまだ登録していない場合に、ユーザーがモバイルデバイスでOkta FastPassに登録する方法について説明します。
-
最初のデバイス(通常はプライマリラップトップまたはデスクトップ)で、Oktaへのオンボーディング中にOkta FastPassに登録します。手順については、「Okta FastPassを有効にする」を参照してください。
-
同じデバイスで、Oktaダッシュボードにサインインします。自分の名前をクリックし、[Settings(設定)]を選択します。
-
[Security Methods(セキュリティ・メソッド)]セクションで、Okta Verifyの[Set up another(別のメソッドをセットアップ]をクリックします。
-
Okta FastPassまたはFIDO2(WebAuthn)で認証します。
-
モバイルデバイスで、必要に応じて別のオーセンティケーターに登録します。追加のオーセンティケーターを追加する前に、フィッシング耐性のあるオーセンティケーターで認証するよう求められます。
考慮事項
-
ユーザーがフィッシング耐性のあるオーセンティケーターに登録しておらず、この機能がユーザーのorgに対してアクティブになっている場合でも、ユーザーは既存のオーセンティケーターを使用して追加オーセンティケーターに登録し、自分のIDを検証できます。
-
この機能がユーザーのorgに対してアクティブになっているのに管理者がまだFIDO2(WebAuthn)またはOkta FastPassオーセンティケーターをアクティブ化していない場合でも、ユーザーは既存のオーセンティケーターを使用して追加オーセンティケーターに登録し、自分のIDを検証できます。