フィッシング耐性のある認証ポリシーを作成する

ここでは、FIDO2(WebAuthn)Authenticatorを使用してフィッシング耐性のある認証ポリシーを作成する方法について説明します。

開始する前に

  1. [User enumeration prevention(ユーザーによる列挙の防止)]を無効にする
    1. Admin Consoleで、[Security(セキュリティ)][General(一般)][User enumeration prevention(ユーザーによる列挙の防止)]の順に進み、[Edit(編集)]をクリックします。
    2. [Authentication(認証)][Recovery(復旧)]のチェックボックスをオフにします。
    3. [Save(保存)]をクリックします。
  2. FIDO2(WebAuthn)Authenticatorを構成します[User verification(ユーザー検証)][Preferred(推奨)]に設定します。
  3. 任意。Okta FastPassなどのフィッシング耐性のある別のAuthenticatorを追加します。こうすることで、ユーザーはYubiKeyを紛失した場合でもOktaアカウントにアクセスできるようになります。

ユーザーグループを作成する

  1. Admin Consoleで、[Directory(ディレクトリ)][Groups(グループ)]に移動します。

  2. [Add group(グループを追加)]をクリックします。
  3. 新規および既存ユーザーのグループを作成し、それらのグループに適切な名前を付けます。たとえば、「新規従業員」や「既存従業員」などです。

  4. [Save(保存)]をクリックします。

作成したフィッシング耐性のあるポリシーをこれらのグループに適用します。

グローバルセッションポリシーを構成する

  1. グローバルセッションポリシーを作成します。そのポリシーを新規および既存ユーザーグループに割り当てます。

  2. グローバルセッションポリシールールを追加します。次の条件を設定します。

    • [Establish the user session with(次を使用してユーザーセッションを確立)][Any factor used to meet the authentication policy requirements(認証ポリシーの要件を満たすために使用される任意の要素)]を選択します。
    • [Multifactor authentication (MFA)(多要素認証(MFA))][Required(必須)]を選択します。
    • [Users will be prompted for MFA(ユーザーにMFA用のプロンプトを表示)][Every time a user signs in(ユーザーのサインインごと)]を選択します。
  3. このポリシーを優先度リストの一番上に移動します。

Authenticator登録ポリシーを構成する

既存ユーザーの場合は、適用されるAuthenticator登録ポリシーを[FIDO2 (WebAuthn)]:[Required(必須)]または[Optional(任意)]に設定します。

新規ユーザーの場合は、以下の手順を実行します。

  1. Authenticator登録ポリシーを作成します。そのポリシーを新規および既存ユーザーグループに割り当てます。
  2. Authenticatorの次の条件を設定します。
    • [FIDO2 (WebAuthn)][Required(必須)]を選択します。
    • [Allowed authenticators(許可されるAuthenticator)][Any WebAuthn authenticators(任意のWebAuthn Authenticator)]を選択します。
    • [Okta Verify][Required(必須)]または[Optional(任意)]を選択します。
    • その他のAuthenticatorが[Required(必須)][Optional(任意)][Disabled(無効)]のどれであるかを定義します。
  3. Authenticator登録ポリシーのルールを構成します。次の条件を設定します。
    • [User is accessing(ユーザーがアクセスしています)][Okta][Applications(アプリケーション)]、および[Any app that supports MFA enrollment(MFA登録をサポートする任意のアプリ)]を選択します。
    • [Enrollment is(登録)][Allowed for all authenticators(すべてのAuthenticatorで許可)]を選択します。
  4. このポリシーを優先度リストの一番上に移動します。

Okta Dashboardの認証ポリシーを構成する

  1. Admin Console[Security(セキュリティ)][Authentication Policies(認証ポリシー)]に移動します。

  2. Okta Dashboard]をクリックするか、そこにポリシーがない場合は[Add a policy(ポリシーを追加)]をクリックして作成します。「認証ポリシーを作成する」を参照してください。
  3. 認証ポリシールールを追加します。次の条件を設定します。
    • [User's group membership includes(ユーザーのグループメンバーシップ)][At least one of the following groups(次のグループのうち少なくとも1つ)]を選択し、新規および既存ユーザーグループの名前を入力します。
    • [User must authenticate with(ユーザーが使用する認証方法)][Any 2 factor types(任意の2要素タイプ)]を選択します。
    • [Possession factor constraints are(所有要素の制約)][Phishing resistant(フィッシング耐性)][Require user interaction(ユーザーインタラクションが必要)][Require biometric user verification(生体認証によるユーザー検証を必須とする)]のオプションを選択します。
  4. [Save(保存)]をクリックします。
  5. このルールを優先度リストの一番上に移動します。
  6. [Applications(アプリケーション)]タブで、[Add app(アプリを追加)]をクリックします。
  7. [Okta Dashboard]アプリの横にある[Add(追加)]をクリックします。
  8. [Add Apps to this Policy(このポリシーにアプリを追加)]ダイアログで[Done(完了)]をクリックします。
  9. これらのユーザーに割り当てるその他のアプリを検索し、それらをポリシーに追加します。
  10. [Close(閉じる)]をクリックします。

次の手順

YubiKey配送用のOkta Workflowsをセットアップする