カスタムOTP Authenticatorの構成
カスタムOTP Authenticatorは、ユーザーがハードウェアまたはソフトウェア セキュリティトークンを介して受け取ったワンタイムパスワード(OTP)を使用して認証できるようにします。このAuthenticatorは標準のOTPトークンのみをサポートします。カスタムOTP Authenticatorは必要に応じていくつでも作成し、さまざまなユーザーグループに割り当てることができます。これにより、きめ細かい制御とセキュリティが可能になります。
このAuthenticatorは所有要素であり、ユーザーの存在の要件を満たし、デバイスバウントです。「多要素認証」を参照してください。
はじめに
OTPの実装でHMACアルゴリズムまたは共有シークレットのエンコーディングを使用する場合は、手順を開始する前にこの情報を準備してください。
カスタムOTP Authenticatorを追加する
-
Admin Consoleで、 に移動します。
-
[Setup(設定)]タブで[Add Authenticator(Authenticatorを追加)]をクリックします。
-
Authenticatorタイルの[Add(追加)]をクリックします。
構成オプション
-
次のオプションを構成します。
フィールド
値
Authenticator name(Authenticator名) このAuthenticatorのわかりやすい名前を入力します。 OTP length(OTPの長さ) 各ワンタイムパスコードの桁数を入力します。 HMAC algorithm(HMACアルゴリズム) 実装に合うアルゴリズムを選択します。 Time step(時間ステップ) 同期比較の間隔を秒単位で入力します。この値は、Oktaがパスコードを受け入れる期間を計算するために、[Clock drift interval(クロックドリフト間隔)]の値と一緒に使用されます。 Clock drift interval(クロック ドリフト間隔) トークンの現在の時刻とサーバーの現在の時刻の差を秒単位で入力します。Oktaはこの期間、パスコードの入力を許容します。 ユーザーがパスコードを入力できる期間を計算するには、[Time step(時間ステップ)]の値に[Clock drift interval(クロックドリフト間隔)]の値を掛けます。たとえば、[Time step(時間ステップ)]の値が60秒で[Clock drift interval(クロックドリフト間隔)]の値が 5 の場合、結果は300秒(60 X 5)になります。これは、Oktaがパスコード入力タイムスタンプの前後300秒(5分)以内にパスコードを受け入れることを意味します。
Shared secret encoding(共有シークレットのエンコーディング) 実装に合うアルゴリズムを選択します。 - [Add(追加)]をクリックします。OktaがAuthenticator IDを生成します。これは、Okta Factors APIを使用してユーザーをカスタムOTP Authenticatorに登録するために使用されます。
- AuthenticatorI Dを取得します。
- [Actions(アクション)]をクリックします。
- [Authenticator & Info(Authenticator IDと情報)]をクリックします。
- クリップボードのアイコンをクリックしてAuthenticator IDをコピーします。Okta Factors APIにユーザーを登録するときに、このIDをfactorProfileIdとして入力します。
- Authenticator IDをユーザーと安全な方法で共有します。ユーザーは、OktaにカスタムOTP Authenticatorに登録するよう求められたときに、このIDをSign-In Widgetに入力する必要があります。
エンドユーザーを登録する
ユーザーは、一度に1つのカスタムOTP Authenticatorインスタンスにのみ登録できます。複数のインスタンスにユーザーが表示されないようにしてください。「カスタムTOTP要素を登録する」を参照してください。
正しいuserIdが各factorIDに割り当てられていること、および正しいセキュリティトークンに割り当てられていることを確認してください。これらの値が正しいエンドユーザーに対応していない場合、エンドユーザーが認証しようとしたときにエラーが発生します。ほかのすべてのユーザーを登録する前に、少数のユーザーで構成をテストすることをお勧めします。
カスタムOTP AuthenticatorをAuthenticator登録ポリシーに追加する
-
Admin Consoleで、 に移動します。
- [Enrollment(登録)]タブをクリックします。
- Authenticatorを新規または既存のAuthenticator登録ポリシーに追加します。「Authenticator登録ポリシーを作成する」を参照してください。
カスタムOTP Authenticatorを編集または削除する
OTP Authenticatorを編集することはできません。カスタムOTP Authenticatorインスタンスに構成エラーを発見した場合は、影響を受けるすべてのユーザーを新しいカスタムOTP Authenticatorインスタンスに再登録できます。
カスタムOTP Authenticatorインスタンスは、すべてのユーザーを削除した後にのみ削除できます。Authenticatorを削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。
- [Authenticator]で、[設定]タブに移動します。
- Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Delete(削除)]を選択します。
エンドユーザーエクスペリエンス
カスタムOTP Authenticatorが追加された後にユーザーが初めてOktaにサインインすると、Sign-In WidgetによってカスタムOTP Authenticatorに登録するよう求められます。ユーザーは、管理者に生成してもらったAuthenticator IDを入力する必要があります。
ユーザーは、カスタムOTP Authenticatorに登録した後にOktaにサインインしたときに、Sign-In WidgetからこのAuthenticator(またはAuthenticatorインスタンスのカスタマイズされた名前)を選択します。ユーザーのOTPアプリまたはセキュリティトークンにOTPが表示されます。ユーザーはそのOTPをSign-In Widgetに入力します。
Oktaでは、Oktaに登録されたサードパーティーのOTP Authenticatorから試行された認証の失敗にレート制限を適用しています。認証に失敗した試行の累積回数が5分間で5回に達すると、制限が適用されます。認証試行は、その期間が経過するまで許可されません。Oktaは、ユーザーに「リクエストが多すぎます」エラーを表示し、システムログにエントリーを記録します。