Authenticatorの登録のルールを追加する
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
Authenticator登録プロセスにフィッシング耐性を組み込むには、このルールを追加します。このルールがアクティブの場合、ユーザーはフィッシング耐性のあるAuthenticator以外のAuthenticatorを登録するとき、およびAuthenticatorを登録解除するときに、フィッシング耐性のあるAuthenticatorを提供する必要があります。orgがフィッシング耐性のあるAuthenticatorをまだ使用していない場合は、まず最初のフィッシング耐性のあるAuthenticatorの登録ルールを追加してください。
前提条件
org内のすべてのユーザーがフィッシング耐性のあるAuthenticatorを使用できなければなりません。「Authenticator登録ポリシーを作成する」を参照してください。
ルールを追加する
-
Admin Consoleでに移動します。
-
[Okta Account Management Policy(Oktaアカウント管理ポリシー)]を選択します。
-
[Add Rule(ルールを追加)]をクリックします。
-
わかりやすいルール名を入力します(「フィッシング耐性のあるAuthenticatorの登録」など)。
-
次のIF条件を設定します。
-
[User type(ユーザータイプ)]:[任意のユーザータイプ]
-
[User group membership includes(ユーザーのグループメンバーシップ:)]:[任意]
-
[User is(ユーザー:)]:[任意]
-
[Device state is(デバイスの状態:)]:[任意]
-
[Device assurance policy is(デバイス保証ポリシー:)]:[ポリシーなし]
-
[Device platform is(デバイスプラットフォーム:)]:[任意のプラットフォーム]
-
[User's IP is(ユーザーのIP:)]:[任意]
-
[Risk is(リスク:)]:[任意]
-
[The following custom expression is true(次のカスタム式をtrueとする)]:accessRequest.operation == 'enroll'
-
-
次のTHEN条件を設定します。
-
[Access is(アクセス:)]:[認証の成功後に許可]
-
[User must authenticate with(ユーザーが使用する認証方法)]:[所有要素]
-
[Possession factor constraints are(所有要素の制約)]:[フィッシング耐性]
-
[Authentication methods(認証方法)]:[要件を満たすために使用できる任意の方法を許可]
-
[Prompt for authentication(認証のためのプロンプト)]:ユーザーがリソースにサインインするたび
-
-
[Save(保存)]をクリックします。
このルールの優先度はキャッチオールより上、ただし最初のフィッシング耐性のあるAuthenticator(追加した場合)より下に設定します。必ず最初のフィッシング耐性のあるAuthenticatorルールを優先度1のままにしてください。
ユーザーエクスペリエンス
ユーザーがOktaアカウント管理ポリシーの要件を満たす場合、このプロセスのユーザーエクスペリエンスは変化しません。ただし、ユーザーのAuthenticatorの選択はフィッシング耐性のあるオプションに制限されます。次の2つのシナリオについて考えてみてください。
-
現在単一要素でアクティブ化されているユーザーが新しいAuthenticatorを登録できないか、MFAを必要とするアプリにサインインできません。このタスクの前提条件を参照してください。
-
ユーザーは、あまりにも多くのAuthenticatorを登録解除すると、ロックアウトされる可能性があります。フィッシング耐性のあるAuthenticatorを少なくとも1つ常に登録しておく必要があることをユーザーに知らせてください。
ユーザーがOktaアカウント管理ポリシーの要件を満たさない場合、ユーザーはプロファイル設定を更新できません。すべてのフィールド(既存のセキュリティ方法の[Reset(リセット)]、[Update(更新)]、[Remove(削除)]オプションを含む)が読み取り専用になり、ユーザーが登録していないAuthenticatorは表示されません。