Symantec VIPオーセンティケーターの構成

Symantec Validation and ID Protection Service(VIP)は、ネットワークとアプリケーションへの安全なアクセスを可能にするクラウドベースの認証サービスです。Symantec VIPを多要素認証(MFA)オプションとしてOktaに追加できます。Symantec VIPで多要素認証を有効にするには、最初にSymantec VIP Managerから証明書を取得し、Oktaにアップロードします。Symantec VIPを有効にすると、認証を求められたときにそれを選択したSymantec VIPの登録ユーザーは、Symantec VIPアプリが生成した時間ベースパスコードを入力します。

開始する前に

このオーセンティケーターを有効にする前、または証明書を更新する前に、次のものが揃っていることを確認してください。

  • Symantec VIP Managerの管理者アカウント。

  • .p12(PKCS#12)ファイル形式のSymantec VIP Managerからの証明書。

  • 証明書を取得したときに入力したパスワード

Symantec VIPをオーセンティケーターとして有効にする

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
  2. [Setup(設定)]タブで、[Add Authenticator(オーセンティケーターを追加)]をクリックします。
  3. [Symantec VIP]タイルの[Add(追加)]をクリックします。
  4. [Browse(参照)]をクリックして、Symantec VIP Managerから取得した証明書を選択します。
  5. [Your VIP Manager password(VIP Managerのパスワード)]フィールドに、Symantec VIP Managerから証明書を取得したときに使用したパスワードを入力します。
  6. [Add(追加)]をクリックします。

Okta 管理コンソールからSymantec VIP証明書を置き換える

期限が切れる前などに証明書を置き換える必要がある場合には、以下の手順を実行します。証明書は通常2年間有効です。有効期限は、[Setup(セットアップ)]タブの[Certificate details(証明書の詳細)]に表示されます。

  1. Symantec VIP Managerから新しい証明書を取得します。
  2. Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
  3. [Setup(セットアップ)]タブでSymantec VIPを見つけて、[Actions(アクション)]>[Edit(編集)]をクリックします。
  4. [Replace certificate(証明書を置換)]をクリックします。
  5. [Browse(参照)]をクリックして、Symantec VIP Managerから取得した証明書を選択します。
  6. [Your VIP Manager password(VIP Managerのパスワード)]フィールドに、Symantec VIP Managerから証明書を取得したときに使用したパスワードを入力します。

  7. [Add(追加)]をクリックします。

Symantec VIPをMFA登録ポリシーに追加する

  1. Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
  2. [Enrollment(登録)]タブで、新しい多要素ポリシーを追加するか、既存の多要素ポリシーを編集します。

    ポリシーを追加する場合:

    1. [Add Multifactor Policy(多要素ポリシーを追加)]をクリックします。
    2. 名前を入力します。
    3. このポリシーをグループに割り当てます。
    4. Symantec VIP[Optional(任意)]または[Required(必須)]に設定します。
    5. [Create Policy(ポリシーを作成)]をクリックします。

    ポリシーを編集する場合:

    1. 編集するポリシーを選択し、[Edit(編集)]をクリックします。
    2. [Effective factors(有効な要素)]で、Symantec VIP[Optional(任意)]または[Required(必須)]に設定します。
    3. [Update Policy(ポリシーを更新)]をクリックします。
  1. ポリシーに1つ以上のルールを追加する場合は、「認証登録ポリシールールの構成」を参照してください。

エンドユーザーエクスペリエンス

初めての認証

管理者がOktaSymantec VIPをオーセンティケーターとして設定した後、初めてOktaにサインインするとき、Symantec VIPをセットアップするように求められます。

  1. モバイルデバイスに必ずVIP Accessアプリをインストールしてください。

  2. コンピュータのウェブブラウザーでOkta orgにサインインします。

  3. [Set up(セットアップ)]をクリックします。

  4. モバイルデバイス上でVIP Accessアプリを開きます:

  5. コンピューター上のウェブブラウザで、[Set up Symantec VIP(Symantec VIPのセットアップ)]画面に以下の情報を入力します。
    • 資格情報ID(空白なし)
    • セキュリティコード1。VIP Accessアプリから6桁のコードを入力します。
    • セキュリティコード2。VIP Accessアプリから次の6桁のコードを入力します。連続したコードを入力する必要があります。
  6. [Enroll(登録)]をクリックします。

後続の認証

  1. コンピューター上のWebブラウザーで、Oktaユーザー名を入力してOkta orgにサインインします。

  2. Symantec VIPの[Select(選択)]をクリックします。

  3. Oktaパスワードを入力して[Verify(確認)]をクリックします。

  4. モバイルデバイスでVIP Accessアプリを開き、6桁のセキュリティコードを取得します。
  5. コンピューター上のWebブラウザーで、[Verify with Symantec VIP(Symantec VIPで確認)]画面の[Enter security code(セキュリティコードを入力)]フィールドにセキュリティコードを入力します。
  6. [Review(確認)]をクリックします。

OTPオーセンティケーターのレート制限について

機密性の高い企業リソースを不正アクセスから保護するために、Oktaでは、Oktaに登録されたサードパーティーのOTPオーセンティケーターから試行された認証の失敗にレート制限を適用しています。次のオーセンティケーターから試行された認証の失敗の累積回数が5分間で5回に達すると制限が適用されます。

  • Google認証システム
  • Symantec VIP
  • YubiKeyオーセンティケーター

認証の失敗がレート制限を超えると、次のようになります。

  • レート制限にパスするまで、認証は許可されません。
  • 「リクエストが多すぎる」ことを示すHTTPステータスコード429がOktaから返されます。
  • メッセージがユーザーインターフェイスに表示され、System Logに書き込まれます。

既知の問題

ユーザーがOkta End-User Dashboardの設定ページからSymantec VIPを削除した場合、非OktaベースのSymantec VIPアカウントが非アクティブ化される

前提:

  1. エンドユーザーが以下からSymantec VIPに登録しました:

    • 自分のOkta org
    • あるいは

    • 他の1つまたは複数のアプリまたはウェブサイト
  2. エンドユーザーは、Okta End-User Dashboardの[Settings(設定)]ページ >[Extra Verification(追加の確認)]ダイアログからOktaベースのSymantec VIP登録を削除します。

問題:

ユーザーは予期した通りに自分のOktaベースのSymantec VIP登録を解除されるだけでなく、ほかの非OktaベースのSymantec VIP登録も解除されます。

対策:

この影響を受けたエンドユーザーに、非OktaベースのSymantec VIPに再登録する必要があることを知らせます。