認証ポリシーでの生体認証によるユーザー検証
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
認証ポリシールールを追加すると、ユーザー検証にパスコードまたは生体認証を必須とすることができます。
これらのオプションは、認証ポリシーの [Add Rule(ルールを追加)] ページの2か所に表示されます。
-
[Require user interaction(ユーザーインタラクションが必要)]オプションのAND[Possession factor constraints are(所有要素の制約)]セクション
-
AND[User must authenticate with(ユーザーが認証に使用する要素:)]セクションでドロップダウンメニューから[Authentication method chain(認証方法チェーン)] を選択します。次に、最初の認証方法としてOkta Verify - PushまたはOkta Verify - FastPassを選択します。
Oktaでは、Okta Verify - PushまたはOkta Verify - FastPassに対してユーザーインタラクションが必要です。ユーザーインタラクションがない場合、何もユーザーに表示されずに認証が完了します。したがって、ユーザーはAuthenticatorを選択して、その認証方法チェーンに従うことができなくなります。将来的に認証方法チェーンを選択することもできなくなります。
次のいずれかのオプションを選択します。
- [Any interaction(あらゆるインタラクション)]:このオプションが選択され、認証ポリシーが所有要素を必要とする場合は、Okta Verifyで証明書ベースの認証を実行できます。これにより、ユーザーは物理的に存在することを証明せずにリソースにアクセスできるようになります。このオプションが選択されていない場合、秘密の質問を追加要素として使用できません。
-
[Require device passcode or biometric user verification(デバイスパスコードまたは生体認証によるユーザー検証を必須とする)]:このオプションでは、ユーザーが自分のIDを確認するのにデバイスパスコードを入力するか、生体認証を使用することを必須とします。このオプションを選択した場合、ユーザーは、ユーザーの存在を証明する次のいずれかのAuthenticatorを使用して自分のIDを確認する必要があります。
複数のAuthenticatorを構成することで、ユーザーがロックアウトされるのを防止するとともに、これらのAuthenticatorへの新しい登録がユーザー検証要件を満たすようにします。
ユーザー検証を満たすAuthenticatorへのユーザー登録を要求することもお勧めします。「Authenticator登録ポリシーを作成する」を参照してください。[Authenticator]セクションで、各ユーザーの存在Authenticatorを[Required(必須)]に設定します。
ユーザーが登録したAuthenticatorでユーザー検証オプションを有効にしていない場合、認証を行うことができません。たとえば、 Okta Verifyで顔認証や指紋認証を有効にしていない場合などです。ユーザーは、これらの登録をリセットして新しい登録に置換するか、Okta Verifyでプッシュ通知または生体検証をアクティブ化する必要があります。
-
[Require biometric user verification(生体認証によるユーザー検証を必須とする)]:このオプションでは、ユーザーが生体認証を使用して認証することを必須とします。ユーザーは、Android、iOS、およびmacOSでOkta FastPassまたはOkta Verify with Pushのいずれかを使用する必要があります。
Windowsデバイスは現在、生体認証ポリシーを満たすことができません。Windows Helloは生体認証とPIN認証を区別していないため、生体認証専用の秘密鍵を作成することはできません。このオプションを有効にした場合、Windows Hello PINを使用するWindowsユーザーの認証は失敗します。Windowsユーザーが別の方法で認証できるように、別のルールを構成してください。