フィッシング耐性のある認証
フィッシング耐性のある認証は、偽のアプリやWebサイトへの機密認証データの公開を検出して防止します。WebAuthn(FIDO 2)とOkta FastPass(Okta Verifyに付属)はフィッシング耐性のある認証オプションであり、メール、SMS、ソーシャルメディアでのフィッシング攻撃を防止します。また、デバイスやネットワークがすでに侵害されている場合に、攻撃の影響を軽減することもできます。
手順
ユーザーにフィッシング耐性のある要素タイプでサインインさせるには、次の手順に従います。
-
WebAuthn(FIDO 2)またはOkta Verifyをセットアップする
-
iOSまたはmacOS管理対象デバイス向けのOkta FastPassを使用するときは、SSO拡張機能プロファイルを構成します。
-
「iOSデバイスのSSO拡張機能を構成する」を参照してください。
-
「管理対象のmacOSデバイスのSSO拡張機能を構成する」を参照してください。
-
-
Okta FastPassまたはWebAuthnのAuthenticator登録ポリシーを構成します。「Authenticator登録ポリシーを作成する」を参照してください。
-
フィッシング耐性のある所有要素を必要とする認証ポリシーを構成します。WebAuthn(FIDO 2)か、Okta FastPassです。「認証ポリシールールを追加する」を参照してください。
ユーザーエクスペリエンス
フィッシング耐性を求めるポリシーによってアプリが保護されている場合、ユーザーはOkta FastPassまたはWebAuthnを使ってサインインできます。Okta FastPassがサポートされない場合、ユーザーはWebAuthnを使ったサインインを求められます。
ユーザーがアプリに直接アクセスするか、サポートされるブラウザーからアクセスする場合、Okta FastPassまたはWebAuthnによる認証は、サポートされるすべてのオペレーティングシステムでフィッシング耐性があります。いくつかの制限事項があります。
- WebViewの実装が原因で、一部のアプリはOktaのフィッシング耐性のある認証をサポートしません。ユーザーがこのタイプのアプリにアクセスし、ポリシーがフィッシング耐性を求める場合、認証は失敗し、「アクセスは拒否されました」というメッセージが返されます。
- macOSでは、SafariでのOkta FastPassを使った認証がフィッシング耐性を持つようにSSO拡張機能を構成します。
- ユニバーサルWindowsプラットフォームアプリでは、フィッシング耐性のある認証がサポートされるようにスクリプトを実行する必要があります。
ユーザーの認証時にフィッシングが試行される場合、そのイベントはSystem Logに記録されます。「Okta FastPassはフィッシング試行を拒否しました」のようなメッセージがログに記録されます。