MFAオーセンティケーターについて

適切な多要素認証(MFA)戦略の目標は、一定レベルの保証を提供することです。これは、サインインしようとしているユーザーが本人であることの信頼度です。オーセンティケーターは、要素タイプに応じて異なるレベルの保証を提供します。

  • 所有:ユーザーが所有しているもの。電話やメールアカウントのアクセス権など。

  • 知識:ユーザーが知っていること。パスワードや秘密の質問に対する回答など。

  • 生体認証:ユーザーが備えているもの。指紋リーダーや顔認証スキャナーなどのデバイスによるスキャンの対象となるユーザーの物理的な属性です。スキャンは、認証を試みる人物が、元々そのタイプの認証をセットアップした人物と同一であるかどうかを決定するのに使用されます。

この表は、オーセンティケーター、要素タイプ、認証方法の関係を示しています。

要素タイプ
知識(知っていること) 所有(持っているもの) バイオメトリクス/生得(自分自身)
オーセンティケーター

  • パスワード

  • セキュリティ質問

  • 電話

  • Google Authenticator

  • メール

  • WebAuthn

N/A
メソッド

N/A

  • SMS

  • 音声

  • Google Authenticator

  • Okta Verify(時間ベースのワンタイムパスワード(TOTP)とプッシュ)

  • メールマジックリンク

  • セキュリティキー(タッチ対応YubiKey

  • Okta Verify(バイオメトリクス使用)

  • WebAuthnTouch ID使用

  • セキュリティキー(生体認証使用のYubiKey

オーセンティケーターにも方式があります。各方式の登録は、要素タイプと方式の特徴のさまざまなセットを満たします。たとえば、特定のデバイスにバインドされるオーセンティケーターや、(ボットなどの代わりに)ユーザーの物理的な存在を示すために使用されるオーセンティケーターがあります。以下に、方式の特徴をまとめた表を示します。

方式の特徴 説明
デバイスバウンド デバイスのキーまたはシークレットはデバイスに保存され、再登録せずに別のデバイスに転送することはできません。 メールと電話を除くすべての所有オーセンティケーター
ハードウェア保護 シークレットまたは秘密鍵をハードウェアで保護するオーセンティケーター。デバイスのキーは、別のデバイス、Trusted Platform Module(TPM)、Secure Enclave内、またはRSA SecureIDなどの別のハードウェアトークンに保存されます。ハードウェアでの保護は、すべてのタイプのデバイスで提供されるわけではありません。一部のWebAuthnオーセンティケーターはハードウェア保護されます。ハードウェア保護されたWebAuthnオーセンティケーターを参照してください。

Okta Verifyの所有証明キー

WebAuthn ハードウェアセキュリティキー。
フィッシング耐性 ログインサーバーを暗号で検証するオーセンティケーター。 Okta Verify内のWebAuthnOkta FastPass
ユーザーの存在 ユーザーは、活動的に認証することによって(YubiKeyへのタッチやワンタイムパスワードの入力など、オーセンティケーターとやり取りすることによって)オーセンティケーターを制御していることを証明し、物理的に存在していることを示します。 所有証明キーで署名されたOkta Verify検証を除くすべての方式

より高いレベルのアシュアランスを提供するには、異なる要素タイプに及ぶオーセンティケーターの組み合わせを選択します。

  • パスワードまたはセキュリティ質問を選択して、ユーザーが知っていることを尋ねます
  • Google Authenticatorを選択して、認証を行っているデバイスをユーザーが所有していること、およびそれが本当にそのユーザーのデバイスであることを証明します
  • 生体認証を有効にしたOkta Verifyを選択して、認証しようとしているユーザーを身体的に確認します

オーセンティケーターを追加する場合は、ご利用の環境で希望どおりに機能するように構成する必要もあります。各オーセンティケーターには固有の構成要件があり、一部のオーセンティケーターは特定の目的で使用されます。

たとえば、メール、電話またはセキュリティ質問を使用するオーセンティケーターを、認証(多要素認証またはシングルサインオン)のみ、パスワードのリカバリーのみ、またはその両方で使用するように構成できます。オーセンティケーターが多要素認証またはシングルサインオンに対して無効になっている場合、サインオンポリシーの評価中にオーセンティケーターが要求されることはありません。

フィッシング耐性

フィッシング耐性のある認証では、偽物のアプリケーションやウェブサイトへの機密認証データ公開を検知して防止します。「Phishing resistant authentication(フィッシング耐性認証)」を参照してください。

ハードウェア保護されたWebAuthnオーセンティケーター

一部のWebAuthnオーセンティケーターはハードウェア保護されます。Oktaでは、WebAuthnオーセンティケーターがハードウェア保護されているかどうかはFIDO Alliance Metadata Service(MDS)を使って判断されます。いずれかのkeyProtection値がhardwareであれば、オーセンティケーターはハードウェア保護と見なされます。

ハードウェア保護されたWebAuthnオーセンティケーターにはいつかの制限事項が適用されます。

  • 2022年11月30日以前に行われた登録はサポートされません。
  • FIDO U2Fを使った登録はサポートされません。
  • Firefoxでの登録は現在サポートされません。
  • [User Verification(ユーザー検証)][Discouraged(非推奨)]に設定され、セキュリティキーにPINが設定されている場合、Chromeでの登録は現在サポートされません。
  • 登録時に求められた場合、ユーザーはセキュリティキーのメーカーとモデルの確認をOktaに許可する必要があります。

レート制限について

Oktaは、認証者が認証に失敗した場合のレート制限を強制することで、機密性の高い企業リソースを未承認アクセスから保護します。認証に失敗した試行の累積回数が5分間で5回に達すると、制限が適用されます。認証の失敗がレート制限を超えると、レート制限期間が経過するまで認証は許可されません。メッセージがユーザーインターフェイスに表示され、System Logにエントリが書き込まれます。

関連項目

Okta FastPass