Symantec VIPオーセンティケーターの構成
Symantec Validation and ID Protection Service(VIP)は、ネットワークとアプリケーションへの安全なアクセスを可能にするクラウドベースの認証サービスです。Symantec VIPを多要素認証(MFA)オプションとしてOktaに追加できます。Symantec VIPで多要素認証を有効にするには、最初にSymantec VIP Managerから証明書を取得し、Oktaにアップロードします。Symantec VIPを有効にすると、認証を求められたときにそれを選択したSymantec VIPの登録ユーザーは、Symantec VIPアプリが生成した時間ベースパスコードを入力します。
- Symantec VIPをオーセンティケーターとして有効にする
- Okta Admin ConsoleからSymantec VIP証明書を置き換える
- Symantec VIPをMFA登録ポリシーに追加する
- エンドユーザーエクスペリエンス
- OTPオーセンティケーターのレート制限について
- 既知の問題
- 関連項目
開始する前に
このオーセンティケーターを有効にする前、または証明書を更新する前に、次のものが揃っていることを確認してください。
-
Symantec VIP Managerの管理者アカウント。
-
.p12(PKCS#12)ファイル形式のSymantec VIP Managerからの証明書。
-
証明書を取得したときに入力したパスワード
Symantec VIPをオーセンティケーターとして有効にする
- Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- [Setup(設定)]タブで、[Add Authenticator(オーセンティケーターを追加)]をクリックします。
- [Symantec VIP]タイルの[Add(追加)]をクリックします。
- [Browse(参照)]をクリックして、Symantec VIP Managerから取得した証明書を選択します。
- [Your VIP Manager password(VIP Managerのパスワード)]フィールドに、Symantec VIP Managerから証明書を取得したときに使用したパスワードを入力します。
- [Add(追加)]をクリックします。
Okta 管理コンソールからSymantec VIP証明書を置き換える
期限が切れる前などに証明書を置き換える必要がある場合には、以下の手順を実行します。証明書は通常2年間有効です。有効期限は、[Setup(セットアップ)]タブの[Certificate details(証明書の詳細)]に表示されます。
- Symantec VIP Managerから新しい証明書を取得します。
- Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- [Setup(セットアップ)]タブでSymantec VIPを見つけて、[Actions(アクション)]>[Edit(編集)]をクリックします。
- [Replace certificate(証明書を置換)]をクリックします。
- [Browse(参照)]をクリックして、Symantec VIP Managerから取得した証明書を選択します。
-
[Your VIP Manager password(VIP Managerのパスワード)]フィールドに、Symantec VIP Managerから証明書を取得したときに使用したパスワードを入力します。
- [Add(追加)]をクリックします。
Symantec VIPをMFA登録ポリシーに追加する
- Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- [Enrollment(登録)]タブで、新しい多要素ポリシーを追加するか、既存の多要素ポリシーを編集します。
ポリシーを追加する場合:
- [Add Multifactor Policy(多要素ポリシーを追加)]をクリックします。
- 名前を入力します。
- このポリシーをグループに割り当てます。
- Symantec VIPを[Optional(任意)]または[Required(必須)]に設定します。
- [Create Policy(ポリシーを作成)]をクリックします。
ポリシーを編集する場合:
- 編集するポリシーを選択し、[Edit(編集)]をクリックします。
- [Effective factors(有効な要素)]で、Symantec VIPを[Optional(任意)]または[Required(必須)]に設定します。
- [Update Policy(ポリシーを更新)]をクリックします。
- ポリシーに1つ以上のルールを追加する場合は、「認証登録ポリシールールの構成」を参照してください。
エンドユーザーエクスペリエンス
初めての認証
管理者がOktaでSymantec VIPをオーセンティケーターとして設定した後、初めてOktaにサインインするとき、Symantec VIPをセットアップするように求められます。
-
モバイルデバイスに必ずVIP Accessアプリをインストールしてください。
-
コンピュータのウェブブラウザーでOkta orgにサインインします。
-
[Set up(セットアップ)]をクリックします。
-
モバイルデバイス上でVIP Accessアプリを開きます:
- コンピューター上のウェブブラウザで、[Set up Symantec VIP(Symantec VIPのセットアップ)]画面に以下の情報を入力します。
- 資格情報ID(空白なし)
- セキュリティコード1。VIP Accessアプリから6桁のコードを入力します。
- セキュリティコード2。VIP Accessアプリから次の6桁のコードを入力します。連続したコードを入力する必要があります。
- [Enroll(登録)]をクリックします。
後続の認証
-
コンピューター上のWebブラウザーで、Oktaユーザー名を入力してOkta orgにサインインします。
-
Symantec VIPの[Select(選択)]をクリックします。
-
Oktaパスワードを入力して[Verify(確認)]をクリックします。
- モバイルデバイスでVIP Accessアプリを開き、6桁のセキュリティコードを取得します。
- コンピューター上のWebブラウザーで、[Verify with Symantec VIP(Symantec VIPで確認)]画面の[Enter security code(セキュリティコードを入力)]フィールドにセキュリティコードを入力します。
-
[Review(確認)]をクリックします。
OTPオーセンティケーターのレート制限について
機密性の高い企業リソースを不正アクセスから保護するために、Oktaでは、Oktaに登録されたサードパーティーのOTPオーセンティケーターから試行された認証の失敗にレート制限を適用しています。次のオーセンティケーターから試行された認証の失敗の累積回数が5分間で5回に達すると制限が適用されます。
- Google認証システム
- Symantec VIP
- YubiKeyオーセンティケーター
認証の失敗がレート制限を超えると、次のようになります。
- レート制限にパスするまで、認証は許可されません。
- 「リクエストが多すぎる」ことを示すHTTPステータスコード429がOktaから返されます。
- メッセージがユーザーインターフェイスに表示され、System Logに書き込まれます。
既知の問題
ユーザーがOkta End-User Dashboardの設定ページからSymantec VIPを削除した場合、非OktaベースのSymantec VIPアカウントが非アクティブ化される
前提:
-
エンドユーザーが以下からSymantec VIPに登録しました:
- 自分のOkta org
- 他の1つまたは複数のアプリまたはウェブサイト
-
エンドユーザーは、Okta End-User Dashboardの[Settings(設定)]ページ >[Extra Verification(追加の確認)]ダイアログからOktaベースのSymantec VIP登録を削除します。
あるいは
問題:
ユーザーは予期した通りに自分のOktaベースのSymantec VIP登録を解除されるだけでなく、ほかの非OktaベースのSymantec VIP登録も解除されます。
対策:
この影響を受けたエンドユーザーに、非OktaベースのSymantec VIPに再登録する必要があることを知らせます。