カスタムOTP Authenticatorの構成

カスタムOTP Authenticatorは、ユーザーがハードウェアまたはソフトウェア セキュリティトークンを介して受け取ったワンタイムパスワード(OTP)を使用して認証できるようにします。このAuthenticatorは標準のOTPトークンのみをサポートします。カスタムOTP Authenticatorは必要に応じていくつでも作成し、さまざまなユーザーグループに割り当てることができます。これにより、きめ細かい制御とセキュリティが可能になります。

このAuthenticatorは所有要素であり、ユーザーの存在の要件を満たし、デバイスバウントです。「多要素認証」を参照してください。

はじめに

OTPの実装でHMACアルゴリズムまたは共有シークレットのエンコーディングを使用する場合は、手順を開始する前にこの情報を準備してください。

カスタムOTP Authenticatorを追加する

  1. Admin Consoleで、[セキュリティ][Authenticator]に移動します。

  2. [設定]タブで、[Authenticatorを追加]をクリックします。

  3. Authenticatorタイルの[追加]をクリックします。

構成オプション

  1. 次のオプションを構成します。

    フィールド

    Authenticator name(Authenticator名) このAuthenticatorのわかりやすい名前を入力します。
    OTP length(OTPの長さ) 各ワンタイムパスコードの桁数を入力します。
    HMAC algorithm(HMACアルゴリズム) 実装に合うアルゴリズムを選択します。
    Time step(時間ステップ) 同期比較の間隔を秒単位で入力します。この値は、Oktaがパスコードを受け入れる期間を計算するために、[Clock drift interval(クロックドリフト間隔)]の値と一緒に使用されます。
    Clock drift interval(クロック ドリフト間隔) トークンの現在の時刻とサーバーの現在の時刻の差を秒単位で入力します。Oktaはこの期間、パスコードの入力を許容します。

    ユーザーがパスコードを入力できる期間を計算するには、[時間ステップ]の値に[クロックドリフト間隔]の値を掛けます。たとえば、[時間ステップ]の値が60秒で[クロックドリフト間隔]の値が 5 の場合、結果は300秒(60 X 5)になります。これは、Oktaがパスコード入力タイムスタンプの前後300秒(5分)以内にパスコードを受け入れることを意味します。

    Shared secret encoding(共有シークレットのエンコーディング) 実装に合うアルゴリズムを選択します。
  2. [追加]をクリックします。OktaがAuthenticator IDを生成します。これは、Okta Factors APIを使用してユーザーをカスタムOTP Authenticatorに登録するために使用されます。
  3. AuthenticatorI Dを取得します。
    1. [アクション]をクリックします。
    2. [Authenticator IDと情報]をクリックします。
    3. クリップボードのアイコンをクリックしてAuthenticator IDをコピーします。Okta Factors APIにユーザーを登録するときに、このIDをfactorProfileIdとして入力します。
    4. Authenticator IDをユーザーと安全な方法で共有します。ユーザーは、OktaにカスタムOTP Authenticatorに登録するよう求められたときに、このIDをSign-In Widgetに入力する必要があります。

エンドユーザーを登録する

ユーザーは、一度に1つのカスタムOTP Authenticatorインスタンスにのみ登録できます。複数のインスタンスにユーザーが表示されないようにしてください。「カスタムTOTP要素を登録する」を参照してください。

正しいuserIdが各factorIDに割り当てられていること、および正しいセキュリティトークンに割り当てられていることを確認してください。これらの値が正しいエンドユーザーに対応していない場合、エンドユーザーが認証しようとしたときにエラーが発生します。ほかのすべてのユーザーを登録する前に、少数のユーザーで構成をテストすることをお勧めします。

カスタムOTP AuthenticatorをAuthenticator登録ポリシーに追加する

  1. Admin Consoleで、[セキュリティ][Authenticator]に移動します。

  2. [登録]タブをクリックします。
  3. Authenticatorを新規または既存のAuthenticator登録ポリシーに追加します。「Authenticator登録ポリシーを作成する」を参照してください。

カスタムOTP Authenticatorを編集または削除する

OTP Authenticatorを編集することはできません。カスタムOTP Authenticatorインスタンスに構成エラーを発見した場合は、影響を受けるすべてのユーザーを新しいカスタムOTP Authenticatorインスタンスに再登録できます。

カスタムOTP Authenticatorインスタンスは、すべてのユーザーを削除した後にのみ削除できます。Authenticatorを削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

  1. [Authenticator]で、[設定]タブに移動します。
  2. Authenticatorの横にある[アクション]ドロップダウンメニューを開き、[削除]を選択します。

エンドユーザーエクスペリエンス

カスタムOTP Authenticatorが追加された後にユーザーが初めてOktaにサインインすると、Sign-In WidgetによってカスタムOTP Authenticatorに登録するよう求められます。ユーザーは、管理者に生成してもらったAuthenticator IDを入力する必要があります。

ユーザーは、カスタムOTP Authenticatorに登録した後にOktaにサインインしたときに、Sign-In WidgetからこのAuthenticator(またはAuthenticatorインスタンスのカスタマイズされた名前)を選択します。ユーザーのOTPアプリまたはセキュリティトークンにOTPが表示されます。ユーザーはそのOTPをSign-In Widgetに入力します。

Oktaでは、Oktaに登録されたサードパーティーのOTP Authenticatorから試行された認証の失敗にレート制限を適用しています。認証に失敗した試行の累積回数が5分間で5回に達すると、制限が適用されます。認証試行は、その期間が経過するまで許可されません。Oktaは、ユーザーに「リクエストが多すぎます」エラーを表示し、システムログにエントリーを記録します。

関連項目

Authenticator登録ポリシーを作成する

Authenticator登録ポリシールールを構成する

カスタムTOTP要素を登録する