スマートカードAuthenticatorを構成する

スマートカード Authenticatorを使用すると、スマートカードで認証することができます。このAuthenticatorの要素タイプと方式の特徴は、スマートカード IDプロバイダーIdPを構成するときにセキュリティの特徴(Security characteristics)で選択するオプションによって決まります。

orgが使用しているスマートカードの構成に基づいて、PIN保護(PIN protected)またはハードウェア保護(Hardware protected)オプションを選択します。これによってスマートカードAuthenticatorの動作が決まります。

選択されたオプション 要素タイプ 方式の特徴
オプションが選択されていない 所有 デバイスバウンド

フィッシング耐性

ユーザーの存在
ハードウェア保護(Hardware protected)のみ 所有 デバイスバウンド

ハードウェア保護

フィッシング耐性

ユーザーの存在

PIN保護(PIN protected)のみ 所有 + 知識 デバイスバウンド

フィッシング耐性

ユーザーの存在

ユーザーの確認

PIN保護(PIN protected)ハードウェア保護(Hardware protected)(hardware protected)の両方 所有 + 知識 デバイスバウンド

ハードウェア保護

フィッシング耐性

ユーザーの存在

ユーザーの確認

開始する前に

スマートカードIdPを追加します

スマートカードAuthenticatorを追加する

  1. Admin Consoleで、セキュリティ(Security) > Authenticatorに移動します。

  2. 設定(Setup)タブで、Authenticatorを追加(Add Authenticator)をクリックします。

  3. スマートカードAuthenticatorタイルの追加(Add)をクリックします。
  4. Smart Card Identity Provider (IdP)(スマート カードIDプロバイダー(IdP))ドロップダウンメニューから、このAuthenticatorに関連付けるすべてのIdPを選択します。

  5. 追加(Add)をクリックします。Authenticatorが設定(Setup)タブのリストに表示されます。

Authenticator登録ポリシーにスマートカードを追加する

Authenticator(Authenticators)で、登録(Enrollment)タブに移動し、新規または既存のAuthenticator登録ポリシーにAuthenticatorを追加します。Authenticator登録ポリシーを作成するを参照してください。

スマートカード Authenticatorを編集または削除する

Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

  1. Authenticator(Authenticators)で、設定(Setup)タブに移動します。
  2. Authenticatorの横にあるアクション(Actions)ドロップダウンメニューを開き、編集(Edit)または削除(Delete)を選択します。

1つのスマートカードで複数のIDを使用できるようにする

1つのスマートカードを使って異なるIDを識別し、対応するアカウントに対して認証することができます。エンドユーザーがPIV/CACを使用してサインイン(Sign in with PIV/CAC)ボタンをクリックすると、Oktaは資格情報の選択を求めます。選択した証明書をOktaが検証すると、利用できるユーザーアカウントのドロップダウンメニューが表示されます。サインインするIDをユーザーが選択すると、認証フローは継続します。

この機能が機能するには、同じ属性を使ってスマートカードをユーザーアカウントにマッピングする必要があります。

  1. セキュリティ(Security) > IDプロバイダー(Identity Providers)に移動します。
  2. スマートカード IdPユーザーの一致(User Matching)セクションに移動します。IdPユーザー名(IdP username)照合対象(Match against)で使用される値がすべてのユーザーで同一であることを確認します。
  3. 条件との複数IDの一致を許可する(Allow multiple identities matching the criteria)チェックボックスを選択します。これにより、1つのスマートカードが、条件に適合する複数のOktaユーザーと一致できるようになります。このチェックボックスを選択せずに複数の一致ユーザーが見つかった場合、認証は失敗します。

エンドユーザーエクスペリエンス

ユーザーがスマートカードをAuthenticatorとして登録する方法は複数あります。

  1. サインインプロセス中に、PIV/CACでサインイン(Sign-in with PIV/CAC)ボタンをクリックし、指示に従ってスマートカードを登録します。
  2. ステップアップ認証の際に、Sign-In Widget で本人確認を行うとスマートカードの登録を促されます。
  3. スマートカードの登録はOkta End-User Dashboard > 設定(Settings)から行います。

複数のスマートカードを登録する

ユーザーは複数のスマートカードを同時にアクティブ化しておくことができます。ユーザーはスマートカードAuthenticatorに関連付けられた異なるIdP用に、異なるスマートカードを登録できます。スマートカードを紛失した場合は、アカウントから削除し、新しいスマートカードを登録する必要があります。

スマートカードを検証に使用する

保護対象のアプリにサインインまたはアクセスをしようとするユーザーにスマートカードの使用を要求できます。ユーザーは、管理者が構成した時間内にスマートカード検証を行う必要があります。認証を行わなかった場合、操作がタイムアウトとなり再認証が必要となります。

スマートカードまたはOkta FastPassを使ってサインインする0

早期アクセスリリース。セルフサービス機能を有効にするを参照してください。

現在、Authenticatorとしてサインイン(Sign in with) Okta FastPass ボタンとスマートカードの両方が構成されている場合、サインイン時にスマートカードオプションしか表示されません。この機能を有効にすると、サインインプロセス中にユーザーに両方のオプションを表示できます。

関連項目

多要素認証