Symantec VIPオーセンティケーターの構成
Symantec Validation and ID Protection Service (VIP)は、ネットワークおよびアプリケーションへのセキュアなアクセスを実現するクラウドベースの認証サービスです。
このオーセンティケーターを有効にするには、最初にSymantec VIP Managerから証明書を取得し、Oktaにアップロードします。Symantec VIPを有効にすると、認証を求められたときにそれを選択したSymantec VIPの登録ユーザーは、Symantec VIPアプリが生成した時間ベースパスコードを入力します。
- Symantec VIPをオーセンティケーターとして有効にする
- Okta Admin ConsoleからSymantec VIP証明書を置き換える
- Symantec VIPを認証登録ポリシーに追加する
- エンドユーザーエクスペリエンス
- OTPオーセンティケーターのレート制限について
- 既知の問題
- 関連項目
はじめに
このオーセンティケーターを有効にする前、または証明書を更新する前に、次の情報を収集して記録しておいてください。
-
Symantec VIP Managerの管理者アカウント。
-
.p12(PKCS#12)ファイル形式のSymantec VIP Managerからの証明書。
-
証明書を取得したときに入力したパスワード
Symantec VIPをオーセンティケーターとして有効にする
- Admin Consoleで、 に移動します。
- [Setup(設定)]タブで、[Add authenticator(オーセンティケーターを追加)]をクリックします。
- [Symantec VIP]タイルの[Add(追加)]をクリックします。
- [Browse(参照)]をクリックして、Symantec VIP Managerから取得した証明書を選択します。
- [Your VIP Manager password(VIP Managerのパスワード)]フィールドに、Symantec VIP Managerから証明書を取得したときに使用したパスワードを入力します。
- [Add(追加)]をクリックします。
Okta Admin ConsoleからSymantec VIP証明書を置き換える
期限が切れる前などに証明書を置き換える必要がある場合には、以下の手順を実行します。証明書は通常2年間有効です。有効期限は、[Setup(セットアップ)]タブの[Certificate details(証明書の詳細)]に表示されます。
- Symantec VIP Managerから新しい証明書を取得します。
- Admin Consoleで、 に移動します。
- [Setup(セットアップ)]タブでSymantec VIPを見つけて、[Actions(アクション)]>[Edit(編集)]をクリックします。
- [Replace certificate(証明書を置換)]をクリックします。
- [Browse(参照)]をクリックして、Symantec VIP Managerから取得した証明書を選択します。
-
[Your VIP Manager password(VIP Managerのパスワード)]フィールドに、Symantec VIP Managerから証明書を取得したときに使用したパスワードを入力します。
- [Add(追加)]をクリックします。
Symantec VIPを認証登録ポリシーに追加する
- Admin Consoleで、 に移動します。
- [Enrollment(登録)]タブで、新しい認証ポリシーを追加します。
- [Add Multifactor Policy(多要素ポリシーを追加)]をクリックします。
- 名前を入力します。
- ポリシーをグループに割り当てます。
- Symantec VIPについて、[Optional(任意)]または[Required(必須)]を選択します。
- [Create Policy(ポリシーを作成)]をクリックします。
- ポリシーにルールを追加します。「オーセンティケーター登録ポリシールールを構成する」を参照してください。
認証登録ポリシーを編集する
- Admin Consoleで、 に移動します。
- [Enrollment(登録)]タブを選択します。
- 編集するポリシーを選択し、[Edit(編集)]をクリックします。
- [Effective factors(有効な要素)]で、Symantec VIPを[Optional(任意)]または[Required(必須)]に設定します。
- [Update Policy(ポリシーを更新)]をクリックします。
エンドユーザーエクスペリエンス
初回認証
管理者がOktaでSymantec VIPをオーセンティケーターとして設定した後、初めてOktaにサインインするとき、Symantec VIPをセットアップするように求められます。
- モバイルデバイスに必ずVIP Accessアプリをインストールしてください。
- コンピュータのウェブブラウザーでOkta orgにサインインします。
- [Set up(セットアップ)]をクリックします。
- モバイルデバイス上でVIP Accessアプリを開きます:
- コンピューター上のウェブブラウザで、[Set up Symantec VIP(Symantec VIPのセットアップ)]ページに以下の情報を入力します。
- 資格情報ID(スペースなし)
- セキュリティコード1。VIP Accessアプリから6桁のコードを入力します。
- セキュリティコード2。次の6桁コードをVIP Accessアプリから入力します。アプリに表示された通りの順番ですべてのコードを入力してください。
- [Enroll(登録)]をクリックします。
後続の認証
- コンピューター上のWebブラウザーで、Oktaユーザー名を入力してOkta orgにサインインします。
- Symantec VIPの[Select(選択)]をクリックします。
- Oktaパスワードを入力して[Verify(確認)]をクリックします。
- モバイルデバイスでVIP Accessアプリを開き、6桁のセキュリティコードを取得します。
- コンピューター上のWebブラウザーで、[Verify with Symantec VIP(Symantec VIPで確認)]ページの[Enter security code(セキュリティコードを入力)]フィールドにセキュリティコードを入力します。
- [Verify(確認)]をクリックします。
OTPオーセンティケーターのレート制限について
機密性の高い企業リソースを不正アクセスから保護するために、Oktaでは、Oktaに登録されたサードパーティーのOTPオーセンティケーターから試行された認証の失敗にレート制限を適用しています。次のオーセンティケーターから試行された認証の失敗の累積回数が5分間で5回に達すると制限が適用されます。
- Google Authenticator
- Symantec VIP
- YubiKeyオーセンティケーター
認証の失敗がレート制限を超えると、次のようになります。
- レート制限にパスするまで、認証は許可されません。
- 「リクエストが多すぎる」ことを示すHTTPステータスコード429がOktaから返されます。
- メッセージがユーザーインターフェイスに表示され、System Logに書き込まれます。
既知の問題
ユーザーが自身のOktaベースの登録をOktaの [Settings(設定)]ページから削除した際、同じユーザーの非Okta Symantec VIP登録が登録解除されてしまう。この現象が発生すると、ユーザーは非OktaベースのSymantec VIPに対する再登録が必要になります。