スマートカードAuthenticatorを構成する
スマートカード Authenticatorを使用すると、スマートカードで認証することができます。このAuthenticatorの要素タイプと方式の特徴は、スマートカード IDプロバイダー(IdP)を構成するときに[Security characteristics(セキュリティの特徴)]で選択するオプションによって決まります。
orgが使用しているスマートカードの構成に基づいて、[PIN protected(PIN保護)]または[Hardware protected(ハードウェア保護)]オプションを選択します。これによってスマートカードAuthenticatorの動作が決まります。
選択されたオプション | 要素タイプ | 方式の特徴 |
---|---|---|
オプションが選択されていない | 所有 | デバイスバウンド
フィッシング耐性 ユーザーの存在 |
Hardware protected(ハードウェア保護)のみ | 所有 | デバイスバウンド ハードウェア保護 フィッシング耐性 ユーザーの存在 |
PIN保護のみ | 所有 + 知識 | デバイスバウンド
フィッシング耐性 ユーザーの存在 ユーザーの確認 |
PIN protected(PIN保護)とHardware protected(ハードウェア保護)の両方 | 所有 + 知識 | デバイスバウンド
ハードウェア保護 フィッシング耐性 ユーザーの存在 ユーザーの確認 |
はじめに
スマートカードAuthenticatorを追加する
- Admin Consoleで に移動します。
-
[Setup(設定)]タブで、[Add Authenticator(Authenticatorを追加)]をクリックします。
- [Smart Card Authenticator (スマートカードAuthenticator)]タイルの[Add(追加)]をクリックします
- [Smart Card Identity Provider (IdP)(スマート カードIDプロバイダー(IdP))]ドロップダウンメニューから、このAuthenticatorに関連付けるすべてのIdPを選択します。
- [Add (追加)]をクリックします。Authenticatorが[Setup(設定)]タブのリストに表示されます。
Authenticator登録ポリシーにスマートカードを追加する
[Authenticator]で、[Enrollment(登録)]タブに移動し、新規または既存のAuthenticator登録ポリシーにAuthenticatorを追加します。「Authenticator登録ポリシーを作成する」を参照してください。
スマートカードAuthenticatorを編集または削除する
Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。
- [Authenticator]で、[Setup(設定)]タブに移動します。
- Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]または[Delete(削除)]を選択します。
1つのスマートカードで複数のIDを使用できるようにする
1つのスマートカードを使って異なるIDを識別し、対応するアカウントに対して認証することができます。エンドユーザーが[Sign in with PIV/CAC(PIV/CACを使用してサインイン)]ボタンをクリックすると、Oktaは資格情報の選択を求めます。選択した証明書をOktaが検証すると、利用できるユーザーアカウントのドロップダウンメニューが表示されます。サインインするIDをユーザーが選択すると、認証フローは継続します。
この機能が機能するには、同じ属性を使ってスマートカードをユーザーアカウントにマッピングする必要があります。
- に移動します。
- [スマートカード] [IdP]で[User Matching(ユーザーの一致)]セクションに移動します。[IdPユーザー名]と[Match against(照合対象)]で使用される値がすべてのユーザーで同一であることを確認します。
- [Allow multiple identities matching the criteria(条件との複数IDの一致を許可する)]チェックボックスを選択します。これにより、1つのスマートカードが、条件に適合する複数のOktaユーザーと一致できるようになります。このチェックボックスを選択せずに複数の一致ユーザーが見つかった場合、認証は失敗します。
エンドユーザーエクスペリエンス
ユーザーがスマートカードをAuthenticatorとして登録する方法は複数あります。
- サインインプロセス中に、[Sign-in with PIV/CAC(PIV/CACでサインイン)]ボタンをクリックし、指示に従ってスマートカードを登録します。
- ステップアップ認証の際に、Sign-In Widgetで本人確認を行うとスマートカードの登録を促されます。
- スマートカードの登録は から行います。
複数のスマートカードを登録する
ユーザーは複数のスマートカードを同時にアクティブ化しておくことができます。ユーザーはスマートカードAuthenticatorに関連付けられた異なるIdP用に、異なるスマートカードを登録できます。スマートカードを紛失した場合は、アカウントから削除し、新しいスマートカードを登録する必要があります。
スマートカードを検証に使用する
保護対象のアプリにサインインまたはアクセスをしようとするユーザーにスマートカードの使用を要求できます。ユーザーは、管理者が構成した時間内にスマートカード検証を行う必要があります。認証を行わなかった場合、操作がタイムアウトとなり再認証が必要となります。
スマートカードまたはOkta FastPassを使ってサインインする0
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
現在、Authenticatorとして[Sign in with Okta FastPass(Okta FastPassでサインインする)]ボタンとスマートカードの両方が構成されている場合、サインイン時に[Smart Card(スマートカード)]オプションしか表示されません。この機能を有効にすると、サインインプロセス中にユーザーに両方のオプションを表示できます。