Symantec VIPオーセンティケーターの構成

Symantec Validation and ID Protection Service (VIP)は、ネットワークおよびアプリケーションへのセキュアなアクセスを実現するクラウドベースの認証サービスです。

このオーセンティケーターを有効にするには、最初にSymantec VIP Managerから証明書を取得し、Oktaにアップロードします。Symantec VIPを有効にすると、認証を求められたときにそれを選択したSymantec VIPの登録ユーザーは、Symantec VIPアプリが生成した時間ベースパスコードを入力します。

はじめに

このオーセンティケーターを有効にする前、または証明書を更新する前に、次の情報を収集して記録しておいてください。

  • Symantec VIP Managerの管理者アカウント。

  • .p12(PKCS#12)ファイル形式のSymantec VIP Managerからの証明書。

  • 証明書を取得したときに入力したパスワード

Symantec VIPをオーセンティケーターとして有効にする

  1. Admin Consoleで、[Security(セキュリティ)][Authenticators(オーセンティケーター)]に移動します。
  2. [Setup(設定)]タブで、[Add authenticator(オーセンティケーターを追加)]をクリックします。
  3. [Symantec VIP]タイルの[Add(追加)]をクリックします。
  4. [Browse(参照)]をクリックして、Symantec VIP Managerから取得した証明書を選択します。
  5. [Your VIP Manager password(VIP Managerのパスワード)]フィールドに、Symantec VIP Managerから証明書を取得したときに使用したパスワードを入力します。
  6. [Add(追加)]をクリックします。

Okta Admin ConsoleからSymantec VIP証明書を置き換える

期限が切れる前などに証明書を置き換える必要がある場合には、以下の手順を実行します。証明書は通常2年間有効です。有効期限は、[Setup(セットアップ)]タブの[Certificate details(証明書の詳細)]に表示されます。

  1. Symantec VIP Managerから新しい証明書を取得します。
  2. Admin Consoleで、[Security(セキュリティ)][Authenticators(オーセンティケーター)]に移動します。
  3. [Setup(セットアップ)]タブでSymantec VIPを見つけて、[Actions(アクション)]>[Edit(編集)]をクリックします。
  4. [Replace certificate(証明書を置換)]をクリックします。
  5. [Browse(参照)]をクリックして、Symantec VIP Managerから取得した証明書を選択します。
  6. [Your VIP Manager password(VIP Managerのパスワード)]フィールドに、Symantec VIP Managerから証明書を取得したときに使用したパスワードを入力します。

  7. [Add(追加)]をクリックします。

Symantec VIPを認証登録ポリシーに追加する

  1. Admin Consoleで、[Security(セキュリティ)][Authenticators(オーセンティケーター)]に移動します。
  2. Enrollment(登録)]タブで、新しい認証ポリシーを追加します。
  3. [Add Multifactor Policy(多要素ポリシーを追加)]をクリックします。
  4. 名前を入力します。
  5. ポリシーをグループに割り当てます。
  6. Symantec VIPについて、[Optional(任意)]または[Required(必須)]を選択します。
  7. [Create Policy(ポリシーを作成)]をクリックします。
  8. ポリシーにルールを追加します。「オーセンティケーター登録ポリシールールを構成する」を参照してください。

    認証登録ポリシーを編集する

    1. Admin Consoleで、[Security(セキュリティ)][Authenticators(オーセンティケーター)]に移動します。
    2. [Enrollment(登録)]タブを選択します。
    3. 編集するポリシーを選択し、[Edit(編集)]をクリックします。
    4. [Effective factors(有効な要素)]で、Symantec VIP[Optional(任意)]または[Required(必須)]に設定します。
    5. [Update Policy(ポリシーを更新)]をクリックします。

エンドユーザーエクスペリエンス

初回認証

管理者がOktaSymantec VIPをオーセンティケーターとして設定した後、初めてOktaにサインインするとき、Symantec VIPをセットアップするように求められます。

  1. モバイルデバイスに必ずVIP Accessアプリをインストールしてください。
  2. コンピュータのウェブブラウザーでOkta orgにサインインします。
  3. [Set up(セットアップ)]をクリックします。
  4. モバイルデバイス上でVIP Accessアプリを開きます:
  5. コンピューター上のウェブブラウザで、[Set up Symantec VIP(Symantec VIPのセットアップ)]ページに以下の情報を入力します。
    • 資格情報ID(スペースなし)
    • セキュリティコード1。VIP Accessアプリから6桁のコードを入力します。
    • セキュリティコード2。次の6桁コードをVIP Accessアプリから入力します。アプリに表示された通りの順番ですべてのコードを入力してください。
  6. [Enroll(登録)]をクリックします。

後続の認証

  1. コンピューター上のWebブラウザーで、Oktaユーザー名を入力してOkta orgにサインインします。
  2. Symantec VIPの[Select(選択)]をクリックします。
  3. Oktaパスワードを入力して[Verify(確認)]をクリックします。
  4. モバイルデバイスでVIP Accessアプリを開き、6桁のセキュリティコードを取得します。
  5. コンピューター上のWebブラウザーで、[Verify with Symantec VIP(Symantec VIPで確認)]ページの[Enter security code(セキュリティコードを入力)]フィールドにセキュリティコードを入力します。
  6. [Verify(確認)]をクリックします。

OTPオーセンティケーターのレート制限について

機密性の高い企業リソースを不正アクセスから保護するために、Oktaでは、Oktaに登録されたサードパーティーのOTPオーセンティケーターから試行された認証の失敗にレート制限を適用しています。次のオーセンティケーターから試行された認証の失敗の累積回数が5分間で5回に達すると制限が適用されます。

  • Google Authenticator
  • Symantec VIP
  • YubiKeyオーセンティケーター

認証の失敗がレート制限を超えると、次のようになります。

  • レート制限にパスするまで、認証は許可されません。
  • 「リクエストが多すぎる」ことを示すHTTPステータスコード429がOktaから返されます。
  • メッセージがユーザーインターフェイスに表示され、System Logに書き込まれます。

既知の問題

ユーザーが自身のOktaベースの登録をOktaの [Settings(設定)]ページから削除した際、同じユーザーの非Okta Symantec VIP登録が登録解除されてしまう。この現象が発生すると、ユーザーは非OktaベースのSymantec VIPに対する再登録が必要になります。