電話認証
Oktaでの電話認証の使用について説明します。
要素タイプ | 所有 |
方式の特徴 |
ユーザーの存在 |
説明 | SMSおよび音声通話のオーセンティケーターでは電話を使用する必要があります。テキストメッセージまたは音声通話で送られたコードを、Oktaのプロンプトにユーザーが入力します。 |
電話オーセンティケーターを使用すると、ユーザーはSMSメッセージまたは音声通話として電話に配信されるワンタイムパスコード(OTP)を使用して、自分自身を認証できます。また、ユーザーは自分のデバイスを登録してアカウントの復旧を開始することもできます。
はじめに
- 「テレフォニー」を検討して、規制要件、有料詐欺、技術的考慮事項、およびその他の要因の影響を理解します。
- orgに対して初めて電話認証を設定する場合は、まず外部のテレフォニーサービスプロバイダーを設定する必要があります。「Choose telephony provider(テレフォニープロバイダーを選択する)」を参照してください。
- 電話オーセンティケーター(音声またはSMS方式)に送信されるOTPのトークンの有効期間は5分です。
この手順を開始する
まずテレフォニーインラインフックを追加し、それをテストしてから電話認証機を追加して、電話オーセンティケーターをセットアップします。
テレフォニーインラインフックの追加
外部テレフォニーサービスを構成した後で、テレフォニーインラインフックを追加することによりOktaと接続します。
- Okta管理コンソールで、[Workflow(ワークフロー)]>[Inline Hooks(インラインフック)]に移動します。
- [Add Inline Hook(インラインフックの追加)]をクリックし、[Telephony(テレフォニー)]を選択します。
- テレフォニープロバイダーのインラインフックに対してわかりやすい名前を入力します。
- ワンタイムパスコード(OTP)をエンドユーザーデバイスに送信するエンドポイントを含む、外部サービスURLを追加します。
- 任意。[Authentication field(認証フィールド)]ヘッダーフィールドの値を指定します。
-
任意。[Authentication secret(認証シークレット)]ヘッダーフィールドの値を指定します。
外部サービスは、認証シークレットを使用して、リクエストがサービスに対するOktaリクエストであることを検証する必要があります。
- [Save(保存)]をクリックして、インラインフックをアクティブにします。
テレフォニーインラインフックをテストする
サービスプロバイダーのテレフォニーフックを構成したら、[Preview(プレビュー)]アクションを使用してその動作をテストできます。
テレフォニーサービスプロバイダーへの接続をテストするには:
-
Okta管理コンソールで、[Workflow(ワークフロー)]>[Inline Hooks(インラインフック)]に移動します。
-
アクティブであるテレフォニーインラインフックを特定します。
-
[Actions(アクション)]をクリックし、[Preview(プレビュー)]を選択します。
-
有効なオーセンティケーターとして電話が設定されているユーザーのユーザープロファイルを選択します。
-
テストするSMSテキストメッセージまたは音声通話を発生させるイベントを選択します。
たとえば、次のイベントアクションのいずれかを選択します。
-
MFAの登録
-
MFAの検証
-
アカウントのロック解除
-
パスワードリセット
-
-
[Generate Request(リクエストを生成)]をクリックして、テレフォニープロバイダーに送信するHTTPリクエストを生成します。
必要に応じて、[Edit(編集)]をクリックして、生成されたリクエストを編集できます。たとえば、プロファイルを編集して、テスト目的で使用する電話番号にテキストメッセージを送信することができます。
-
[View Response(応答を表示)]をクリックして、サービスプロバイダーからの応答を表示します。
電話をオーセンティケーターとして追加する
テレフォニーインラインフックを構成してテストした後、それを使用して電話オーセンティケーターを構成します。
- Okta Admin Consoleで、[Security(セキュリティ)]>[Authenticators(オーセンティケーター)]に移動します。
- [Setup(設定)]タブで、[Add Authenticator(オーセンティケーターを追加)]をクリックします。
- [Phone(電話)]タイルで[Add(追加)]をクリックします。[Add Phone(電話の追加)] ウィンドウが表示されます。
- [User can verify with(ユーザーは次で検証可能)]セクションで、ユーザーが検証できる方法を選択します。[Voice call(音声通話)]、[SMS]または両方を選択できます。
- [This authenticator can be used for(このオーセンティケーターは以下に使用可能)]セクションで、電話オーセンティケーターを使用するアクションを選択します。
- [Authentication and recovery(認証と復旧)]:このオプションは、ユーザーがこのオーセンティケーターを使用して自分自身を認証し、アカウントを復旧できるようにします。
- [Recovery(復旧)]:このオプションは、ユーザーがアカウントを復旧するためだけにこのオーセンティケーターを使用できるようにします。このオプションを選択した場合は、グローバルセッションポリシーの評価中にOktaが認証を要求することはありません。
-
[Add(追加)]をクリックします。
エンドユーザーエクスペリエンス
Oktaに初めてサインインするユーザーには、追加の検証が必要であることが表示されます。ユーザーが電話オーセンティケーターを選択するときは、電話番号を入力し、利用可能にしたオプションに応じて[SMS]または[Voice call(音声通話)]を選択します。電話番号を確認した後は、オーセンティケーターのセットアップ方法に応じて、その電話番号を認証と復旧に使用することも、復旧のみに使用することもできます。
ユーザーが[SMS]を選択した場合、ユーザーは携帯電話番号のみを指定できます。[Voice call(音声通話)]の場合、携帯電話番号または内線付きの電話番号を指定できます。
フリーダイヤル、プレミアム、または無効な電話番号は、多要素認証またはデバイス登録には使用できません。このような電話番号は拒否されます。
試行回数が多すぎる
Oktaはレート制限を使用して、SMSオーセンティケーターに対する総当たり攻撃から保護します。誤った資格情報を複数回入力した後、ユーザーに次のメッセージが表示されます:「Too many attempts.(試行回数が多すぎます。)Try again later.(後で再度試みてください。)」この場合、アカウントにアクセスするには、別のオーセンティケーターを使用する必要があります。ユーザーに複数のオーセンティケーターをセットアップして、代替手段を確実に提供できるようにします。
電話番号の変更
ユーザーが電話番号を変更しながらOktaでは更新していない場合、音声通話とSMSはユーザーの古い電話番号に送信されます。この場合は、認証を完了できません。[Sign-In Widget(サインインウィジェット)]で[Sign in with something else(他の方法でサインインする)]をクリックし、別のオーセンティケーターで認証してください。次に、エンドユーザーダッシュボードで別の電話番号を追加し、古い電話番号を新しい電話番号に置き換える必要があります。
エンドユーザーのタスク
エンド ユーザーは次のタスクを実行して、電話を登録し、この電話をサインインに使用し、アカウントに別の電話番号を追加します。
電話オーセンティケーターを初めてセットアップする
- [Sign-In Widget(サインインウィジェット)] > [Set up security methods(セキリティメソッドのセットアップ)] > [Phone(電話)]で、[Set up(セットアップ)]をクリックします。
- [SMS]または[Voice Call(音声通話)]を選択します。[SMS]を選択した場合、携帯電話番号のみを指定できます。
- [Country(国)]ドロップダウンリストで、電話番号の国を選択します。
- [Phone number(電話番号)]フィールドに電話番号を入力します。国コードを含めず、ダッシュを省略し、国の電話システムで先頭にゼロが使用されている場合はそのゼロを省略します。
- [Voice Call(音声通話)]を選択し、電話番号に内線番号が含まれている場合は、[Extension(内線)]フィールドに入力します。
- [Receive a code via SMS(SMSでコードを受信)]または[Receive a code via voice call(音声通話でコードを受信)]をクリックします。選択したオプションに応じて、SMSまたは音声通話のいずれかでコードを受信します。
- [Enter Code(コードを入力)]フィールドにコードを入力します。
- [Verify(確認)]をクリックします。
電話をサインインに使用する
- orgのサインインページに移動します。ユーザー名と、サインインウィジェットによって要求されるその他の資格情報(パスワードなど)を入力します。
- 利用可能なセキュリティメソッドの一覧が表示されたページで、[Phone(電話)]オプションの横にある[Select(選択)]をクリックします。
- SMSメッセージでコードを受信するには、[Receive a code via SMS(SMSでコードを受信)]をクリックします。音声通話でコードを受信するには、[Receive a voice call instead(代わりに音声通話を受信)]をクリックします。
- OktaがSMSメッセージを送信するか、ユーザーの電話に電話をかけると、Okta Sign-in Widgetに[Enter Code(コードを入力)]フィールドが表示されます。
- SMSメッセージまたは音声通話で提供されたコードを[Enter Code(コードを入力)]フィールドに入力します。
- [Verify(確認)]をクリックします。
別の電話番号を追加する
サインイン後、ユーザーは自分のプロファイルに別の電話番号を追加できます。
- Okta End-User Dashboardで、右上隅にあるユーザー名をクリックします。
- [My Settings(設定)]を選択します。
- [Security Methods(セキュリティメソッド)]セクションで、[Phone(電話)]の横にある[Set up another(別のメソッドをセットアップ]をクリックします。
- [Set up(セットアップ)]をクリックします。
- [SMS]または[Voice Call(音声通話)]を選択します。[SMS]を選択した場合、携帯電話番号のみを指定できます。
- [Country(国)]ドロップダウンリストで、電話番号の国を選択します。
- [Phone number(電話番号)]フィールドに電話番号を入力します。国コードを含めず、ダッシュを省略し、国の電話システムで先頭にゼロが使用されている場合はそのゼロを省略します。
- [Voice Call(音声通話)]を選択し、電話番号に内線番号が含まれている場合は、[Extension(内線)]フィールドに入力します。
- [Receive a code via SMS(SMSでコードを受信)]または[Receive a code via voice call(音声通話でコードを受信)]をクリックします。選択したオプションに応じて、SMSまたは音声通話のいずれかでコードを受信します。
- [Enter Code(コードを入力)]フィールドにコードを入力します。
- [Verify(確認)]をクリックします。
新しい電話番号が追加されます。次回サインインするときは、プロンプトを完了するために使用する電話番号を選択できます。
次の手順
- SMSをカスタマイズします。「SMSメッセージをカスタマイズする」を参照してください。
- 携帯電話にアクセスできない場合に備えて、エンドユーザーに複数の認証オプションを提供するため、より多くのオーセンティケーターを構成します。「多要素認証」を参照してください。