スマートカードAuthenticatorを構成する

スマートカード Authenticatorを使用すると、スマートカードで認証することができます。このAuthenticatorの要素タイプと方式の特徴は、スマートカード IDプロバイダー（IdP）を構成するときに［Security characteristics（セキュリティの特徴）］で選択するオプションによって決まります。

orgが使用しているスマートカードの構成に基づいて、［PIN protected（PIN保護）］または［Hardware protected（ハードウェア保護）］オプションを選択します。これによってスマートカードAuthenticatorの動作が決まります。

選択されたオプション	要素タイプ	方式の特徴
オプションが選択されていない	所有	デバイスバウンドフィッシング耐性ユーザーの存在
Hardware protected（ハードウェア保護）のみ	所有	デバイスバウンドハードウェア保護フィッシング耐性ユーザーの存在
PIN保護のみ	所有 + 知識	デバイスバウンドフィッシング耐性ユーザーの存在ユーザーの確認
PIN protected（PIN保護）とHardware protected（ハードウェア保護）の両方	所有 + 知識	デバイスバウンドハードウェア保護フィッシング耐性ユーザーの存在ユーザーの確認

はじめに

スマートカードIdPを追加します。

スマートカードAuthenticatorを追加する

Admin Consoleで［Security（セキュリティ）］［Authenticator（オーセンティケーター）］に移動します。
［Setup（設定）］タブで、［Add Authenticator（オーセンティケーターを追加）］をクリックします。
［Smart Card Authenticator （スマートカードAuthenticator）］タイルの［Add（追加）］をクリックします
［Smart Card Identity Provider (IdP)（スマートカードIDプロバイダー（IdP））］ドロップダウンメニューから、このAuthenticatorに関連付けるすべてのIdPを選択します。
［Add （追加）］をクリックします。Authenticatorが［Setup（設定）］タブのリストに表示されます。

Authenticator登録ポリシーにスマートカードを追加する

［Authenticator（オーセンティケーター）］で、［Enrollment（登録）］タブに移動し、新規または既存のAuthenticator登録ポリシーにAuthenticatorを追加します。「Authenticator登録ポリシーを作成する」を参照してください。

スマートカードAuthenticatorを編集または削除する

Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

［Authenticator］で、［Setup（設定）］タブに移動します。
Authenticatorの横にある［Actions（アクション）］ドロップダウンメニューを開き、［Edit（編集）］または［Delete（削除）］を選択します。

1つのスマートカードで複数のIDを使用できるようにする

1つのスマートカードを使って異なるIDを識別し、対応するアカウントに対して認証することができます。エンドユーザーが［Sign in with PIV/CAC（PIV/CACを使用してサインイン）］ボタンをクリックすると、Oktaは資格情報の選択を求めます。選択した証明書をOktaが検証すると、利用できるユーザーアカウントのドロップダウンメニューが表示されます。サインインするIDをユーザーが選択すると、認証フローは継続します。

この機能が機能するには、同じ属性を使ってスマートカードをユーザーアカウントにマッピングする必要があります。

［Security（セキュリティ）］［Identity Providers（IDプロバイダー）］に移動します。
［スマートカード］［IdP］で［User Matching（ユーザーの一致）］セクションに移動します。［IdPユーザー名］と［Match against（照合対象）］で使用される値がすべてのユーザーで同一であることを確認します。
［Allow multiple identities matching the criteria（条件との複数IDの一致を許可する）］チェックボックスを選択します。これにより、1つのスマートカードが、条件に適合する複数のOktaユーザーと一致できるようになります。このチェックボックスを選択せずに複数の一致ユーザーが見つかった場合、認証は失敗します。

エンドユーザーエクスペリエンス

ユーザーがスマートカードをAuthenticatorとして登録する方法は複数あります。

サインインプロセス中に、［Sign-in with PIV/CAC（PIV/CACでサインイン）］ボタンをクリックし、指示に従ってスマートカードを登録します。
ステップアップ認証の際に、Sign-In Widgetで本人確認を行うとスマートカードの登録を促されます。
スマートカードの登録は［Okta End-User Dashboard］［Settings（設定）］から行います。

複数のスマートカードを登録する

ユーザーは複数のスマートカードを同時にアクティブ化しておくことができます。ユーザーはスマートカードAuthenticatorに関連付けられた異なるIdP用に、異なるスマートカードを登録できます。スマートカードを紛失した場合は、アカウントから削除し、新しいスマートカードを登録する必要があります。

スマートカードを検証に使用する

保護対象のアプリにサインインまたはアクセスをしようとするユーザーにスマートカードの使用を要求できます。ユーザーは、管理者が構成した時間内にスマートカード検証を行う必要があります。認証を行わなかった場合、操作がタイムアウトとなり再認証が必要となります。

スマートカードまたはOkta FastPassを使ってサインインする0

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

現在、Authenticatorとして［Sign in with Okta FastPass（Okta FastPassでサインインする）］ボタンとスマートカードの両方が構成されている場合、サインイン時に［Smart Card（スマートカード）］オプションしか表示されません。この機能を有効にすると、サインインプロセス中にユーザーに両方のオプションを表示できます。