多要素認証
多要素認証とは、ユーザーがアカウントにアクセスするために、2つ以上の方法でIDを確認する必要があることを意味します。パスワード、セキュリティ質問への回答、電話(SMSまたは音声通話)、Okta Verifyなどの認証アプリなどがあります。Oktaでは、ユーザーがIDを確認するこれらの方法をオーセンティケーターと呼びます。
Oktaでは、さまざまなオーセンティケーターがサポートされているため、企業環境固有のMFA要件に応じてオーセンティケーターの使用をカスタマイズできます。また、MFA登録ポリシー(ユーザーによるオーセンティケーターへの登録の方法を制御する)や、認証ポリシーおよびグローバルセッションポリシー(ユーザーによるアカウントへのサインイン時にどの認証チャレンジを表示するかを決定する)もカスタマイズできます。たとえば、ユーザーの場所、割り当てられているグループ、使用しているオーセンティケーターなどに基づいてサインインを許可またはブロックしたり、アクセスの許可や追加のチャレンジの提示などのアクションを指定したりできます。
オーセンティケーターを設定する手順
Oktaでサポートされているオーセンティケーターのほとんどは、次のような手順で設定できます。具体的な手順については、使用する各オーセンティケーターのトピックを参照してください。
- オーセンティケーターを有効にします。手順については、各オーセンティケーターのトピックを参照してください。
- オーセンティケーターを構成します。各オーセンティケーターには独自の設定があります。
- オーセンティケーターを認証登録ポリシーに追加してカスタマイズします。
オーセンティケーターとその構成方法の詳細については、「MFAオーセンティケーターについて」を参照してください。
サポートされているオーセンティケーターのリスト
オーセンティケーター | 要素タイプ | 方式の特徴 | 説明 |
---|---|---|---|
所有 所有 + 生体認証* |
ハードウェア保護 デバイスバウンド ユーザーの存在 |
Okta Verifyは、Oktaなど、保護されたリソースにサインインするユーザーのIDを確認するオーセンティケーターアプリです。 注:Okta Verify for macOSおよびOkta Verify for Windowsは、Okta Identity Engine orgでのみサポートされています。 |
|
所有 所有 + 生体認証* |
ハードウェア保護 デバイスバウンド ユーザーの存在 |
カスタムオーセンティケーターは、ユーザーが保護されたリソースにサインインするときにユーザーのIDを確認するために使用されるオーセンティケーターアプリです。 |
|
所有 |
デバイスバウンド ユーザーの存在 |
カスタムOTPオーセンティケーターを追加することで、Oktaなどの保護されたリソースにサインインするユーザーが本人確認をできるようになります。OktaでカスタムOTPと関連するポリシーを構成すると、エンドユーザーは指定されたコードを入力してカスタムOTPを設定するように求められます。 |
|
所有 |
デバイスバウンド ユーザーの存在 |
Duo Securityは、Oktaなど、保護されたリソースにサインインするユーザーのIDを確認するオーセンティケーターアプリです。Oktaと統合すると、Duo Securityは多要素認証の記録システムになります。 |
|
所有 |
ユーザーの存在 |
メールオーセンティケーターを使用すると、ユーザーはプライマリメールアドレスに送信されるトークン(メールマジックリンクと呼ばれます)を使用して認証を正常に実行できます。 |
|
所有 |
デバイスバウンド ユーザーの存在 |
Google Authenticatorは、Oktaなど、保護されたリソースにサインインするユーザーのIDを確認するオーセンティケーターアプリです。Google Authenticatorが有効になっている場合、これを選択して認証するユーザーは、Google Authenticatorアプリによって生成された時間ベースの6桁コードの入力を求められます。 |
|
知識 |
ユーザーの存在 |
パスワードオーセンティケーターは文字列で構成され、この文字列はユーザーまたは管理者が設定します。 |
|
所有 |
ユーザーの存在 |
SMSおよび音声通話のオーセンティケーターでは電話を使用する必要があります。テキストメッセージまたは音声通話で送られたコードを、Oktaのプロンプトにユーザーが入力します。 |
|
所有 所有 + 生体認証* |
デバイスバウンド フィッシング耐性 ユーザーの存在 |
セキュリティキーまたは生体認証オーセンティケーターは、FIDO2 Web認証(WebAuthn)標準に準拠しています。ユーザーはYubiKeyなどのセキュリティキーを挿入するか、指紋リーダーに触れるか、デバイスで顔をスキャンして検証します。 |
|
知識 |
ユーザーの存在 |
セキュリティ質問オーセンティケーターは質問で構成され、エンドユーザーによって決められた回答を入力する必要があります。 |
|
このオーセンティケーターの要素タイプと方式の特徴は、選択された設定に応じて変化します。 |
スマートカードオーセンティケーターを利用することで、管理者は、ユーザーがOktaにサインインする際、またはアプリにアクセスする際の自分自身の認証を必須にすることができます。 |
||
選択オプションなし(ソフトウェアベースの証明書): | |||
所有 + 知識 |
デバイスバウンド フィッシング耐性 ユーザーの存在 |
||
[Hardware(ハードウェア)]オプションのみを選択: |
|||
所有 |
デバイスバウンド ハードウェア保護 フィッシング耐性 ユーザーの存在 |
||
[PIN]オプションのみを選択: |
|||
所有 + 知識 |
デバイスバウンド フィッシング耐性 ユーザーの存在 ユーザーの確認 |
||
[PIN]および[Hardware(ハードウェア)]オプションを選択: |
|||
所有 + 知識 |
デバイスバウンド ハードウェア保護 フィッシング耐性 ユーザーの存在 ユーザーの確認 |
||
所有 |
デバイスバウンド ユーザーの存在 |
Symantec Validation and ID Protection Service(VIP)は、ネットワークとアプリケーションへの安全なアクセスを可能にするクラウドベースの認証サービスです。OktaでのオーセンティケーターオプションとしてSymantec VIPを追加できます。 |
|
所有 |
ユーザーの存在 |
カスタムのIDプロバイダー(IdP)認証により、管理者は、構成されたIDプロバイダーに基づいてカスタムSAMLまたはOIDC MFAオーセンティケーターを有効にできます。エンドユーザーは、認証のためにIDプロバイダーに転送され、検証が成功するとOktaにリダイレクトされます。 |
|
所有 |
ハードウェア保護 デバイスバウンド |
YubiKey OTPオーセンティケーターにより、ユーザーは、YubiKeyハードウェアトークンを押し、アカウントに安全にログインするための新しいワンタイムパスワード(OTP)を生成できます。 |
* これらのオーセンティケーターによる検証は、必ず少なくとも1つの所有要素タイプを満たします。登録に使用されるデバイスとオーセンティケーターの検証に使用される方法によっては、2つの要素タイプが満たされる可能性があります。たとえば、PINが必要なセキュリティキーで検証するユーザーは、単一のオーセンティケーターで所有要素と知識要素の両方のタイプを満たしています。