アプリ・サインイン・ポリシーでの生体認証によるユーザー検証

アプリ・サインイン・ポリシー・ルールを追加すると、ユーザー検証にデバイスパスコードまたは生体認証を必須とすることができます。

これらのオプションは、アプリ・サインイン・ポリシーのルールを追加（Add Rule）ページの2か所に表示されます。

ユーザーインタラクションが必要（Require user interaction）（AND Possession factor constraints are）オプションのAND所有要素の制約：（AND Possession factor constraints are）（Require user interaction）セクション
ANDユーザーが認証に使用する要素：（AND User must authenticate with）セクションで、ドロップダウンメニューから認証方法チェーン（Authentication method chain）を選択します。次に、最初の認証方法としてOkta Verify - PushまたはOkta Verify - FastPassを選択します。

注:
Oktaでは、Okta Verify - PushまたはOkta Verify - FastPassに対してユーザーインタラクションが必要です。ユーザーインタラクションがない場合、何もユーザーに表示されずに認証が完了します。したがって、ユーザーはAuthenticatorを選択して、その認証方法チェーンに従うことができなくなります。将来的に認証方法チェーンを選択することもできなくなります。

次のいずれかのオプションを選択します。

あらゆるインタラクション（Any interaction）：このオプションが選択され、アプリ・サインイン・ポリシーが所有要素を必要とする場合は、Okta Verifyで証明書ベースの認証を実行できます。これにより、ユーザーは物理的に存在することを証明せずにリソースにアクセスできるようになります。このオプションが選択されていない場合、セキュリティ質問を追加要素として使用できません。
デバイスパスコードまたは生体認証によるユーザー検証を必須とする（Require device passcode or biometric user verification）：このオプションでは、ユーザーが自分のIDを確認するのにデバイスパスコードを入力するか、生体認証を使用することを必須とします。このオプションを選択した場合、ユーザーは、ユーザーの存在を証明する次のいずれかのAuthenticatorを使用して自分のIDを確認する必要があります。
複数のAuthenticatorを構成することで、ユーザーがロックアウトされるのを防止するとともに、これらのAuthenticatorへの新しい登録がユーザー検証要件を満たすようにします。

ユーザー検証を満たすAuthenticatorへのユーザー登録を要求することもお勧めします。OktaAuthenticator登録ポリシーを作成するを参照してください。Authenticator（Authenticators）セクションで、各ユーザーの存在Authenticatorを必須（Required）に設定します。

ユーザーが登録したAuthenticatorでユーザー検証オプションを有効にしていない場合、認証を行うことができません。たとえば、 Okta Verifyで顔認証や指紋認証を有効にしていない場合などです。ユーザーは、これらの登録をリセットして新しい登録に置換するか、Okta Verifyでプッシュ通知または生体検証をアクティブ化する必要があります。
生体認証によるユーザー検証を必須とする（Require biometric user verification）：このオプションでは、ユーザーが生体認証を使用して認証することを必須とします。ユーザーは、Android、iOS、およびmacOSでOkta FastPassまたはOkta Verify with Pushのいずれかを使用する必要があります。

Windowsデバイスは現在、生体認証ポリシーを満たすことができません。Windows Helloは生体認証とPIN認証を区別していないため、生体認証専用の秘密鍵を作成することはできません。このオプションを有効にした場合、Windows Hello PINを使用するWindowsユーザーの認証は失敗します。Windowsユーザーが別の方法で認証できるように、別のルールを構成してください。