Symantec VIP Authenticatorの構成
Symantec Validation and ID Protection Service(VIP)は、デバイスバウンドの所有要素であり、ユーザーの存在を確認します。これは、ユーザーがSymantec VIPアプリによって生成される時間ベースのパスコードを入力してサインインできるようにするクラウドベースの認証サービスです。
はじめに
OktaでSymantec VIP Authenticatorを構成するには以下が必要です。
- Symantec VIP Managerの管理者アカウント
- .p12(PKCS#12)ファイル形式のSymantec VIP Managerからの証明書
- 証明書を取得するために使用したVIP Managerのパスワード
Symantec VIPAuthenticatorを追加する
-
Admin Consoleでに移動します。
-
[設定]タブで、[Add authenticator(Authenticatorを追加)]をクリックします。
- [Symantec VIP]タイルの[Add(追加)]をクリックします。
- VIP証明書をアップロードします。
- VIP Managerのパスワードを入力します。
-
[Add(追加)]をクリックします。[Setup(設定)]タブのリストにAuthenticatorが表示されます。
Authenticator登録ポリシーにSymantec VIP Authenticatorを追加する
[Authenticator]で[Enrollment(登録)]タブに移動し、新規または既存のAuthenticator登録ポリシーにAuthenticatorを追加します。「Authenticator登録ポリシーを作成する」を参照してください。
Symantec VIP Authenticatorを編集または削除する
Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。
- [Authenticator]で、[Setup(設定)]タブに移動します。
- Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]または[Delete(削除)]を選択します。
VIP証明書を置換する
有効期限切れの、または取り消されたVIP証明書はVIP認証の失敗につながる可能性があります。そのため、VIP証明書が有効期限切れになるか、取り消される前に、証明書を置換する必要があります。証明書は通常2年間有効です。証明書の有効期限は[Setup(設定)]タブに表示されます。
証明書を置換するには、以下の手順に従います。
- Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]を選択します。
- [Replace certificate(証明書を置換)]をクリックして新しい証明書をアップロードします。
- Symantec VIP Managerから証明書を取得したときに使用したパスワードを入力します。
- [Add(追加)]をクリックします。
エンドユーザーエクスペリエンス
エンドユーザーは、自分のモバイルデバイスにVIP Accessをインストールします。最初のサインイン時に、Symantec VIP Authenticatorのセットアップを求められます。エンドユーザーは、OktaサインインプロセスとVIP Accessアプリの指示に従います。次回以降のサインインでは、モバイルデバイスのVIP Accessアプリによって生成された時間ベースのパスコードを入力し、サインインプロセスを続行します。
ユーザーは、Oktaの[Settings(設定)]ページからOktaベースの登録を削除すると、他の非Okta Symantec VIP登録から登録解除されます。この場合、ユーザーは非OktaベースのSymantec VIP登録に再登録する必要があります。
Oktaでは、Oktaに登録されたサードパーティOTP Authenticatorから試行された認証の失敗にレート制限が適用されます。このAuthenticatorには、Google Authenticator、Symantec VIP、YubiKey OTPが含まれます。レート制限は、これらのいずれかまたはすべてのAuthenticatorから5分間で合計5回試行に失敗すると発生します。ユーザーがこのレート制限を超過すると、レート制限が終わるまでサインインできなくなります。このような試行はSystem Logに記録されます。