フィッシング耐性のあるアプリサインインポリシーを作成する

ここでは、パスキー(FIDO2 WebAuthn)Authenticatorを使用してフィッシング耐性のあるアプリサインインポリシーを作成する方法について説明します。

開始する前に

  1. ユーザーによる列挙の防止(User enumeration prevention)を無効にする
    1. Admin Consoleで、セキュリティ(Security) > 一般(General) > ユーザーによる列挙の防止(User enumeration prevention)に移動し、編集(Edit)をクリックします。
    2. 認証(Authentication)復旧(Recovery)のチェックボックスをオフにします。
    3. 保存(Save)をクリックします。
  2. パスキー(FIDO2 WebAuthn)Authenticatorを構成するユーザー検証(User verification)推奨(Preferred)に設定します。
  3. 任意。Okta FastPassなどのフィッシング耐性のある別のAuthenticatorを追加します。こうすることで、ユーザーはYubiKeyを紛失した場合でもOktaアカウントにアクセスできるようになります。

ユーザーグループを作成する

  1. Admin Consoleで、ディレクトリ(Directory) > グループ(Groups)に移動します。

  2. グループを追加(Add group)をクリックします。
  3. 新規および既存ユーザーのグループを作成し、それらのグループに適切な名前を付けます。たとえば、New EmployeesExisting Employeesです。

  4. 保存(Save)をクリックします。

作成したフィッシング耐性のあるポリシーをこれらのグループに適用します。

グローバルセッションポリシーを構成する

  1. グローバルセッションポリシーを作成します。そのポリシーを新規および既存ユーザーグループに割り当てます。

  2. グローバルセッションポリシールールを追加します。次の条件を設定します。

    • 次を使用してユーザーセッションを確立(Establish the user session with)認証ポリシーの要件を満たすために使用される任意の要素(Any factor used to meet the authentication policy requirements)を選択します。
    • Multifactor authentication (MFA)(多要素認証(MFA))必須(Required)を選択します。
    • ユーザーにMFA用のプロンプトを表示(Users will be prompted for MFA)ユーザーのサインインごと(Every time a user signs in)を選択します。
  3. このポリシーを優先度リストの一番上に移動します。

Authenticator登録ポリシーを構成する

既存ユーザーの場合は、適用されるAuthenticator登録ポリシーを パスキー(FIDO2 WebAuthn) 必須(Required)]または任意(Optional)に設定します。

新規ユーザーの場合は、以下の手順を実行します。

  1. Authenticator登録ポリシーを作成します。そのポリシーを新規および既存ユーザーグループに割り当てます。
  2. Authenticator(Authenticators)の次の条件を設定します。
    • パスキー(FIDO2 WebAuthn) 必須(Required)を選択します。
    • 許可されるAuthenticator(Allowed authenticators)任意のWebAuthn Authenticator(Any WebAuthn authenticators)を選択します。
    • Okta Verify 必須(Required)または任意(Optional)を選択します。
    • その他のAuthenticatorが必須(Required)任意(Optional)無効(Disabled)のどれであるかを定義します。
  3. Authenticator登録ポリシールールを構成します。次の条件を設定します。
    • ユーザーがアクセスしています(User is accessing) Okta アプリケーション(Applications)、およびMFA登録をサポートする任意のアプリ(Any app that supports MFA enrollment)を選択します。
    • 登録(Enrollment is)すべてのAuthenticatorで許可(Allowed for all authenticators)を選択します。
  4. このポリシーを優先度リストの一番上に移動します。

Okta Dashboardのアプリサインインポリシーを構成する

  1. Admin Consoleセキュリティ(Security) > 認証ポリシー に移動します。

  2. アプリのサインイン(App sign-in)をクリックします。
  3. Oktaダッシュボード(Dashboard)をクリックするか、そこにポリシーがない場合はポリシーを追加(Add a policy)をクリックして作成します。アプリ・サインイン・ポリシーを作成するを参照してください。
  4. アプリ・サインイン・ポリシー・ルールを追加します。次の条件を設定します。
    • ユーザーのグループメンバーシップ(User's group membership includes)次のグループのうち少なくとも1つ(At least one of the following groups)を選択し、新規および既存ユーザーグループの名前を入力します。
    • ユーザーが使用する認証方法(User must authenticate with)任意の2要素タイプ(Any 2 factor types)を選択します。
    • 所有要素の制約(Possession factor constraints are)フィッシング耐性(Phishing resistant)ユーザーインタラクションが必要(Require user interaction)生体認証によるユーザー検証を必須とする(Require biometric user verification)のオプションを選択します。
  5. 保存(Save)をクリックします。
  6. このルールを優先度リストの一番上に移動します。
  7. アプリケーション(Applications)タブで、アプリを追加(Add app)をクリックします。
  8. Okta Dashboard(Add)アプリの横にある追加(Add)(Okta Dashboard)をクリックします。
  9. このポリシーにアプリを追加(Add Apps to this Policy)(Done)ダイアログで完了(Done)(Add Apps to this Policy)をクリックします。
  10. これらのユーザーに割り当てるその他のアプリを検索し、それらをポリシーに追加します。
  11. 閉じる(Close)をクリックします。

次の手順

YubiKey配送用のOkta Workflowsをセットアップする