パスワードレスユーザーにMFAを構成する

このトピックでは、パスワードレス・サインイン・シナリオで多要素認証(MFA)に使用できるAuthenticatorについて説明します。パスワードレスサインインフローの2要素認証を設定する、2つの方法を示します。

パスワードレスユーザーが使用できるAuthenticator

ユーザーは、Authenticator登録ポリシーとアプリ・サインイン・ポリシーに構成されているAuthenticatorを使用してサインインできます。

アプリ・サインイン・ポリシーにはさまざまな要素のオプションが用意されていますが、パスワードレスのMFAでは、任意の2要素タイプ(Any 2 factor types)オプションのみを使用できます。

任意の2要素タイプ(Any 2 factor types)オプションでは、ユーザーは次の要素タイプのうちの2つから、2つのAuthenticatorを使用して認証する必要があります。

  • 知識ベース(Knowledge-based):ユーザーが知っていること
  • 所有(Possession):ユーザーが持っているもの
  • 生体認証(Biometric):ユーザーが備えているもの

これらの要素は、ハードウェアで保護されている、デバイスにバインドされている、またはフィッシング耐性がある可能性があります。

知識ベースのAuthenticatorには、パスワードとセキュリティ質問が含まれます。ただし、セキュリティ質問は、ユーザーが登録済みのパスワードを持っている場合にのみMFAに使用できます。そのため、知識ベースのAuthenticatornのみを使用して、パスワードレスサインインのMFA要件を満たすことはできません。

そのため、ユーザーがパスワードレスでサインインするには、1つの所有ベースの要素と1つの生体認証要素が必要です。

パスワードレスサインイン用に2要素認証をセットアップする

パスワードレス・サインイン・エクスペリエンス用に2要素認証をセットアップするには、次の2つの方法があります。

1. Okta Verifyまたはパスキー(FIDO2 WebAuthn)

所有ベースの要素はいくつかありますが、生体認証要素のオプションには、Okta Verifyとパスキー(FIDO2 WebAuthn)のみが含まれています。ただし、Okta Verifyまたはパスキー(FIDO2 WebAuthn)で生体認証が有効になっている場合、それらのいずれかだけで、2要素認証の所有と生体認証の両方の要素タイプの要件が満たされます。そのため、ユーザーにはそれ以上の要素タイプを求めるプロンプトは表示されません。

そのため、パスワードレスサインイン用の2要素認証を構成するには、ユーザー検証(User verification)必須(Required)に設定した、プッシュ通知を使用したOkta Verifyまたはパスキー(FIDO2 WebAuthn)が必要です。ユーザー検証が必要な場合、ユーザーは要素の登録中に生体認証を有効にする必要があります。これにより、生体認証コンポーネントがAuthenticatorに追加されます。

たとえば、ユーザーがiPhoneでOkta Verifyを使用していて、ユーザー検証が必要な場合、ユーザーがOkta Verifyを使用してチャレンジに回答できるようになる前に、FaceIDチェックが実行されます。

Okta Verifyをセットアップするには、Okta Verify Authenticatorを構成するを参照してください。

パスキー(FIDO2 WebAuthn)をセットアップするには、「パスキー(FIDO2 WebAuthn)Authenticatorを構成する」を参照してください。

2. Okta FastPass

Okta FastPassは、Okta Verifyのデバイス固有の構成です。これは、2要素認証を使用したパスワードレスサインインを有効にするためにも使用できます。ただし、この場合、ユーザーがサインインするデバイスにOkta Verifyがインストールされている必要があります。

通常のOkta Verifyプッシュチャレンジでは、ユーザーがサインインするデバイスにOkta Verifyアプリがインストールされている必要はありません。たとえば、携帯電話にインストールされたOkta Verifyを使用して、デスクトップからのチャレンジに回答することができます。

ただし、Okta FastPassを使用している場合はできません。Okta FastPassを使用してデスクトップにサインインできるようにするには、デスクトップにOkta Verifyがインストールされている必要があります。

Okta FastPassをセットアップするには、Okta FastPassを構成するを参照してください。