多要素認証
多要素認証(MFA)とは、ユーザーがアカウントにアクセスするために、2つ以上の方法でIDを確認する必要があることを意味します。これにより、権限のない第三者がユーザーのアカウントにサインインすることがより困難になります。彼らがすべての認証方法にアクセスできるとは考えられません。
要素タイプと方式の特徴ががことなるAuthenticatorを追加すると、MFA戦略が強化されます。アプリまたはユーザーのグループに対してAuthenticatorを必須にしたり、アカウント復旧に使用できるAuthenticatorを指定したりできます。
|
要素タイプ |
方式の特徴 |
Authenticator |
|---|---|---|
| 所有
|
ユーザーの存在 | メール、電話、IdP |
| ユーザーの存在、デバイスバウンド | カスタムOTP、Duo Security、Google Authenticator、Symantec VIP | |
| ユーザーの存在、デバイスバウンド、ハードウェア保護 | YubiKey OTP | |
| ユーザーの存在、デバイスバウンド、フィッシング耐性 | Smart Card IdP | |
| ユーザーの存在、デバイスバウンド、フィッシング耐性、ハードウェア保護 | Smart Card IdP(ハードウェアオプション付き) | |
| 所有 + 生体認証 | ユーザーの存在、デバイスバウンド、ハードウェア保護 | Okta Verify、カスタムAuthenticator |
| ユーザーの存在、デバイスバウンド、フィッシング耐性 | FIDO2(WebAuthn) | |
| 所有 + 知識
|
ユーザーの存在、デバイスバウンド、フィッシング耐性、ユーザーの確認 | Smart Card IdP(PINオプション付き) |
| ユーザーの存在、デバイスバウンド、フィッシング耐性、ユーザーの確認、ハードウェア保護 | Smart Card IdP(PINおよびハードウェアオプション付き) | |
| 知識 | ユーザーの存在 | パスワード、セキュリティ質問 |
要素タイプ
Okta Authenticatorは次の3つの要素タイプに分類できます。
- 所有:ユーザーが所有しているもの。電話やメールアカウントなど。
- 知識:ユーザーが知っていること。パスワードやセキュリティ質問に対する回答など。
- 生体認証:ユーザーが備えているもの。指紋や顔など、デバイスでスキャンできるユーザーの物理的な属性です。
方式の特徴
要素は複数の方式の特徴に分類できます。
- デバイスバウンド:このAuthenticatorは特定のデバイスに関連付けられます。
- ハードウェア保護:このAuthenticatorは認証に物理デバイスを必要とします。
- フィッシング耐性:このAuthenticatorは、ユーザーが他のユーザーと共有できる認証データを提供しません。そのため、ユーザーがフィッシングキャンペーンでだまされて資格情報を共有することはありません。「フィッシング耐性のある認証」と「フィッシング耐性を高めるためのOktaソリューション」を参照してください。
- ユーザーの存在:このAuthenticatorは人間の操作を必要とします。
- ユーザーの確認:このAuthenticatorは、特定のユーザーが現在認証中の人物であることを証明します。
Authenticator
Authenticatorを使用するには、から目的のAuthenticatorを追加して構成し、Authenticator登録ポリシーに追加します。手順については、Authenticatorのトピックを参照してください。
Authenticatorをリセットする
ユーザーのAuthenticatorをリセットできます。リセット後、ユーザーは自分のAuthenticatorをセットアップし直す必要があります。「ユーザーの多要素認証をリセットする」を参照してください。