カスタムOTP Authenticatorを構成する

カスタムOTP Authenticatorは、ユーザーがハードウェアまたはソフトウェアセキュリティトークンを介して受け取ったワンタイムパスワード（OTP）を使用して認証できるようにします。このAuthenticatorは標準のOTPトークンのみをサポートします。カスタムOTP Authenticatorは必要に応じていくつでも作成し、さまざまなユーザーグループに割り当てることができます。これにより、きめ細かい制御とセキュリティが可能になります。

このAuthenticatorは所有要素であり、ユーザーの存在の要件を満たし、デバイスバウントです。多要素認証を参照してください。

開始する前に

OTPの実装でHMACアルゴリズムまたは共有シークレットのエンコーディングを使用する場合は、手順を開始する前にこの情報を準備してください。

カスタムOTP Authenticatorを追加する

Admin Consoleで、セキュリティ（Security） > Authenticatorに移動します。
設定（Setup）タブで、Authenticatorを追加（Add Authenticator）をクリックします。
Authenticatorタイルの追加（Add）をクリックします。

構成オプション

次のオプションを構成します。

フィールド	値
Authenticator名（Authenticator name）	このAuthenticatorのわかりやすい名前を入力します。
OTPの長さ（OTP length）	各ワンタイムパスコードの桁数を入力します。
HMACアルゴリズム（HMAC algorithm）	実装に合うアルゴリズムを選択します。
時間ステップ（Time step）	同期比較の間隔を秒単位で入力します。この値は、Oktaがパスコードを受け入れる期間を計算するために、クロックドリフト間隔（Clock drift interval）の値と一緒に使用されます。
クロックドリフト間隔（Clock drift interval）	トークンの現在の時刻とサーバーの現在の時刻の差を秒単位で入力します。Oktaはこの期間、パスコードの入力を許容します。ユーザーがパスコードを入力できる期間を計算するには、時間ステップ（Time step）の値にクロックドリフト間隔（Clock drift interval）の値を掛けます。たとえば、時間ステップ（Time step）の値が60秒でクロックドリフト間隔（Clock drift interval）の値が 5 の場合、結果は300秒（60 X 5）になります。これは、Oktaがパスコード入力タイムスタンプの前後300秒（5分）以内にパスコードを受け入れることを意味します。
共有シークレットのエンコーディング（Shared secret encoding）	実装に合うアルゴリズムを選択します。

追加（Add）をクリックします。OktaがAuthenticator IDを生成します。これは、Okta Factors APIを使用してユーザーをカスタムOTP Authenticatorに登録するために使用されます。
Authenticator IDを取得します。
1. アクション（Actions）をクリックします。
2. Authenticator IDと情報（Authenticator & Info）をクリックします。
3. クリップボードのアイコンをクリックしてAuthenticator IDをコピーします。Okta Factors APIにユーザーを登録するときに、このIDをfactorProfileIdとして入力します。

エンドユーザーを登録する

ユーザーは、一度に1つのカスタムOTP Authenticatorインスタンスにのみ登録できます。複数のインスタンスにユーザーが表示されないようにしてください。「カスタムTOTP要素を登録する」を参照してください。

注:

正しいuserIdが各factorIDに割り当てられていること、および正しいセキュリティトークンに割り当てられていることを確認してください。これらの値が正しいエンドユーザーに対応していない場合、エンドユーザーが認証しようとしたときにエラーが発生します。ほかのすべてのユーザーを登録する前に、少数のユーザーで構成をテストすることをお勧めします。

カスタムOTP AuthenticatorをAuthenticator登録ポリシーに追加する

Admin Consoleで、セキュリティ（Security） > Authenticatorに移動します。
登録（Enrollment）タブをクリックします。
Authenticatorを新規または既存のAuthenticator登録ポリシーに追加します。

カスタムOTP Authenticatorを編集または削除する

OTP Authenticatorを編集することはできません。カスタムOTP Authenticatorインスタンスに構成エラーを発見した場合は、影響を受けるすべてのユーザーを新しいカスタムOTP Authenticatorインスタンスに再登録できます。

カスタムOTP Authenticatorインスタンスは、すべてのユーザーを削除した後にのみ削除できます。Authenticatorを削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

Authenticator（Authenticators）で、設定（Setup）タブに移動します。
Authenticatorの横にあるアクション（Actions）ドロップダウンメニューを開き、削除（Delete）を選択します。

エンドユーザーエクスペリエンス

ユーザーは、カスタムOTP Authenticatorに登録した後にOktaにサインインしたときに、Sign-In Widget からこのAuthenticator（またはAuthenticatorインスタンスのカスタマイズされた名前）を選択します。ユーザーのOTPアプリまたはセキュリティトークンにOTPが表示されます。ユーザーはそのOTPをSign-In Widget に入力します。

Oktaでは、Oktaに登録されたサードパーティのOTP Authenticatorから試行された認証の失敗にレート制限を適用しています。

ユーザーはOTPを最大5回まで入力できます。その後、正しいOTPは無効になり、潜在的な総当たり攻撃が発生しないようにします。「リクエストが多すぎる」ことを示すHTTPステータスコード429がOktaから返されます。メッセージがユーザーインターフェイスに表示され、エントリーがSystem Logに書き込まれます。ユーザーはアカウントからロックアウトされず、すぐに別のOTPを要求できます。