電話Authenticatorを構成する
電話Authenticatorは所有要素であり、ユーザーの存在を確認します。これには、SMSメッセージと音声通話の両方が含まれます。ユーザーは、登録した電話番号にテキストメッセージまたは音声通話として送られるワンタイムパスコード(OTP)を認証に使用します。ユーザーが電話にアクセスできることで、サインインを試みたユーザーが意図したユーザーであることが確認されます。
追加の鑑別工具をセットアップして、ユーザーが電話を利用できない場合の代替策を確実に用意します。たとえば、ユーザーの電話番号が変わったが、それをOktaで更新していない場合や、ユーザーが電話を紛失した場合などです。ユーザーがサインイン試行失敗の制限を超過すると、鑑別工具である電話は一時的に無効化されます。
電話のOTPを使用しても、ユーザーの身元確認を保証できるわけではありません。「SMSや通話による本人確認の潜在的なリスク」を参照してください。
Oktaでは、より堅固な鑑別工具の使用をユーザー認証で必須にすることをお勧めします。たとえば、ユーザーの存在を確認するだけでなく、デバイスとの紐づけやハードウェア保護、フィッシング耐性のある鑑別工具rを使用します。そのような鑑別工具には、認証アプリやメールのマジックリンク、FIDO2(WebAuthn)などがあります。「多要素認証」を参照してください。
開始する前に
- Okta WorkflowsまたはOkta APIを使って外部のテレフォニーサービスプロバイダーに接続します。テレフォニーサービスプロバイダーの選択に関するガイダンスについては、「テレフォニープロバイダーを選択する」を参照してください。
- テレフォニーのドキュメント参照し、規制要件、有料詐欺、技術的考慮事項を理解します。
電話Authenticatorを追加する
-
Admin Consoleでに移動します。
- [Setup(設定)]タブで[Add Authenticator(Authenticatorを追加)]をクリックします。
- [Phone(電話)]タイルで[Add(追加)]をクリックします。
-
次のオプションを構成します。
-
[User can verify with(ユーザーは次で検証可能)]:[Voice call(通話)]、[SMS]または両方を選択できます。
-
[This authenticator can be used for(このAuthenticatorは、次の目的に使用できます)]:
[Authentication and recovery(認証と復旧)]:ユーザーはこのAuthenticatorを使用して認証したり、アカウントを復旧したりできます。
[Recovery(復旧)]:ユーザーはこのAuthenticatorを使用してアカウントを復旧きますが、認証することはできません。
-
-
[Add(追加)]をクリックします。Authenticatorが[Setup(設定)]タブのリストに表示されます。
Authenticator登録ポリシーに電話を追加する
[Authenticator]で、[Enrollment(登録)]タブに移動し、新規または既存のAuthenticator登録ポリシーにAuthenticatorを追加します。「Authenticator登録ポリシーを作成する」を参照してください。
電話Authenticatorを編集または削除する
Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。
- [Authenticator]で、[Setup(設定)]タブに移動します。
- Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]または[Delete(削除)]を選択します。
エンドユーザーエクスペリエンス
Oktaに初めてサインインするユーザーには、追加の検証が必要であることが表示されます。ユーザーは電話Authenticatorを選択し、電話番号を入力します。次に、利用可能なオプションに応じて[SMS]または[Voice call(通話)]を選択します。OTPを使って電話番号を確認したユーザーは、設定に応じて、その電話番号を認証と復旧に使用することも、復旧のみに使用することもできます。OTPの有効期限は5分間です。
ユーザーが[SMS]を選択した場合、ユーザーは携帯電話番号のみを指定できます。[Voice call(通話)]の場合、携帯電話番号または内線付きの電話番号を指定できます。ユーザーは、フリーダイヤル、プレミアム、または無効な電話番号を使用できません。ユーザーに送信されるSMSメッセージのカスタマイズについては、「SMSメッセージをカスタマイズする」を参照してください。
Oktaは、電話Authenticatorに対する総当たり攻撃から保護するためにレート制限を強制適用します。誤った資格情報を複数回入力すると、ユーザーは一時的に電話Authenticatorを使用できなくなります。この場合は、[Verify with something else(何らかの方法で確認)]オプションを使用することで、別のAuthenticatorを使ってサインインできます。
エンドユーザーのタスク
電話をセキュリティ方式として構成できるように、これらの手順をエンドユーザーに伝えてください。
サインイン時に電話番号をセットアップする
- orgのサインインページに移動してユーザー名を入力します。
- [Set up security methods(セキュリティ方式のセットアップ)]ページで[phone(電話)]オプションの[Set up(セットアップ)]をクリックします。
- [SMS]または[Voice call(通話)]を選択します。
- [Country(国)]ドロップダウンリストで電話番号の国を選択します。
- [Phone number(電話番号)]フィールドに電話番号を入力します。国コードとダッシュを含めず、国の電話システムで先頭にゼロが使われる場合はそのゼロを省略します。
- [SMS]を選択したときは、携帯電話番号のみを指定できます。
- [Voice call(通話)]を選択し、電話番号に内線番号が含まれるときは、[Extension(内線)]フィールドに入力します。
- [Recieve a code(コードを受信)]ボタンをクリックします。
- 受け取ったOTPを[Enter Code(コードを入力)]フィールドに入力し、[Verify(確認)]をクリックします。
確認が正しく行われたら、その他すべてのプロンプトを完了すると、サインインされます。End-User Dashboardのの下に電話番号が表示されます。
Dashboardから電話番号を追加する
- End-User Dashboardでユーザー名の下のドロップダウンメニューを開き、[Settings(設定)]をクリックします。
- に移動し、[Set up another(ほかにもセットアップ)]をクリックします。
- 求められた場合は、本人確認を行います。
- [Set up security methods(セキュリティ方式のセットアップ)]ページで電話の[Set up(セットアップ)]をクリックします。
- [SMS]または[Voice call(通話)]を選択します。
- [Country(国)]ドロップダウンリストで電話番号の国を選択します。
- [Phone number(電話番号)]フィールドに電話番号を入力します。国コードとダッシュを含めず、国の電話システムで先頭にゼロが使われる場合はそのゼロを省略します。
- [SMS]を選択したときは、携帯電話番号のみを指定できます。
- [Voice call(通話)]を選択し、電話番号に内線番号が含まれるときは、[Extension(内線)]フィールドに入力します。
- [Recieve a code(コードを受信)]ボタンをクリックします。
- 受け取ったOTPを[Enter Code(コードを入力)]フィールドに入力し、[Verify(確認)]をクリックします。確認が正しく行われると、[Settings(設定)]にリダイレクトされ、[Security Methods(セキュリティ方式)]に電話番号が表示されます。
- 追加する電話番号ごとに、この手順を繰り返します。
SMSまたは通話を使ってサインインする
- orgのサインインページに移動してユーザー名を入力します。
- 電話オプションを利用できないときは、[Verification(確認)]ページで[Verify with something else(何らかの方法で確認)]をクリックします。
- [Security Methods(セキュリティ方式)]ページで[Phone(電話)]オプションをクリックします。
- [Receive a code via SMS(SMSでコードを受信)]または[Receive a voice call instead(代わりに通話を受信)]をクリックします。
- 受け取ったOTPを[Enter Code(コードを入力)]フィールドに入力し、[Verify(確認)]をクリックします。
確認が正しく行われたら、その他すべてのプロンプトを完了すると、サインインされます。