パスワードを持たないユーザー向けのMFAを構成する

このトピックでは、パスワードなしのサインインでMFAに使用できる要素について説明します。パスワードなしのサインインフローの2要素認証を設定する、2つの方法を示します。

パスワードを持たないユーザーが使用できるオーセンティケーター

ユーザーがサインオンに使用できるオーセンティケーターのセットは、オーセンティケーター登録ポリシーと認証ポリシーの共通部分によって決まります。

認証ポリシーにはさまざまな要素のオプションが用意されていますが、パスワードなしの多要素認証では、［Any 2 factor types（任意の2要素タイプ）］オプションのみを使用できます。

［Any 2 factor types（任意の2要素タイプ）］オプションでは、ユーザーは次の要素タイプのうちの2つから、2つのオーセンティケーターを使用して認証する必要があります。

• 知識ベース：ユーザーが知っていること

• 所有：ユーザーが持っているもの

• 生体認証：ユーザーが備えているもの

これらの要素は、ハードウェアで保護されている、デバイスにバインドされている、またはフィッシング耐性がある可能性があります。

知識ベースのオーセンティケーターには、パスワードとセキュリティ上の質問が含まれます。ただし、セキュリティ上の質問は、ユーザーが登録済みのパスワードを持っている場合にのみMFAに使用できます。そのため、知識ベースのオーセンティケーターを使用して、パスワードなしのサインインのMFA要件を満たすことはできません。

そのため、ユーザーがパスワードなしでサインインするには、1つの所有ベースの要素と1つの生体認証要素が必要です。

パスワードなしのサインイン用に2要素認証をセットアップする

パスワードなしのサインインエクスペリエンス用に2要素認証をセットアップするには、次の2つの方法があります。

1. Okta VerifyまたはWebAuthn（FIDO2）

所有ベースの要素はいくつかありますが、生体認証要素のオプションには、Okta VerifyとWebAuthn（FIDO2）のみが含まれています。ただし、Okta VerifyまたはWebAuthnで生体認証が有効になっている場合、それらのいずれかだけで、2要素認証の所有と生体認証の両方の要素タイプの要件が満たされます。そのため、ユーザーにはそれ以上の要素タイプを求めるプロンプトは表示されません。

そのため、パスワードなしのサインイン用の2要素認証を構成するには、［User verification（ユーザー検証）］を［Required（必須）］に設定した、プッシュ通知を使用したOkta VerifyまたはWebAuthnが必要です。ユーザー検証が必要な場合、ユーザーは要素の登録中に生体認証を有効にする必要があります。これにより、生体認証コンポーネントがオーセンティケーターに追加されます。

たとえば、ユーザーがiPhoneでOkta Verifyを使用していて、ユーザー検証が必要な場合、ユーザーがOkta Verifyを使用してチャレンジに回答できるようになる前に、FaceIDチェックが実行されます。

Okta Verifyをセットアップするには、「Okta Verify オーセンティケーターを構成する」を参照してください。

WebAuthnをセットアップするには、「FIDO2（WebAuthn）オーセンティケーターを構成する」を参照してください。

2. Okta FastPass

Okta FastPassは、Okta Verifyのデバイス固有の構成です。これは、2要素認証を使用したパスワードなしのサインインを有効にするためにも使用できます。ただし、この場合、ユーザーがサインインするデバイスにOkta Verifyがインストールされている必要があります。

通常のOkta Verifyプッシュチャレンジでは、ユーザーがサインインするデバイスにOkta Verifyアプリケーションがインストールされている必要はありません。たとえば、携帯電話にインストールされたOkta Verifyを使用して、デスクトップからのチャレンジに回答することができます。

ただし、Okta FastPassを使用している場合、これはできません。Okta FastPassを使用してデスクトップにサインインできるようにするには、デスクトップにOkta Verifyがインストールされている必要があります。

Okta FastPassをセットアップするには、「Okta FastPassを構成する」を参照してください。