フィッシング耐性のあるAuthenticatorの登録
フィッシング耐性のあるAuthenticatorの登録を構成することで、orgのセキュリティを強化できます。
はじめに
-
フィッシング耐性のあるAuthenticatorを構成します。「フィッシング耐性のある認証」を参照してください。ユーザーが必ずフィッシング耐性のある方法でOkta Verifyに登録するように、Okta Verifyの構成時に[Higher security methods(より高いセキュリティ方式)]を選択します。このオプションにより、ユーザーは登録にQRコード、メール、SMSリンクを使用できません。「Okta Verifyオプションの構成」を参照してください。
-
既存のフィッシング耐性のあるAuthenticatorを必須にするようにAuthenticator登録を構成します。この機能を有効にするには、[Require phishing-resistant authenticator to enroll additional Authenticator(追加Authenticatorの登録にフィッシング耐性のあるAuthenticatorを必須とする)]のトグルをクリックします。この早期アクセス機能が有効になっている場合、ユーザーは追加のAuthenticatorに登録する前にFIDO2 WebAuthnまたはOkta FastPassで認証する必要があります。
に移動し、
エンドユーザーエクスペリエンス
ユーザーがフィッシング耐性のあるAuthenticatorを持っていない
ユーザーは多要素認証に登録するとき、またはOktaに次回サインインするときに、フィッシング耐性のあるAuthenticatorに登録するよう求められます。ユーザーが後で別のAuthenticatorを追加する場合は、最初にフィッシング耐性のあるAuthenticatorで認証する必要があります。
ユーザーがフィッシング耐性のあるAuthenticatorに登録していないときは、Authenticator登録ポリシーで定義されている保証要件を満たす任意のAuthenticatorに登録できます。
ユーザーがフィッシング耐性のあるAuthenticatorを少なくとも1つ持っている
-
ユーザーがデバイスにOkta FastPassをセットアップしている場合は、それを使用して同じデバイスで別のAuthenticator(WebAuthnやハードウェアキーなど)に登録できます。[Add account to another device(別のデバイスにアカウントを追加)]オプションを使用することで、Okta Verifyアプリケーションを使用して他のデバイスを登録することもできます。Android、iOS、macOS、およびWindowsデバイスのエンドユーザー向けドキュメントを参照してください。
-
ユーザーがFIDO 2 YubiKeyなどのローミングAuthenticatorに登録している場合は、それを任意のデバイスに挿入し、そのデバイスでWebAuthnまたはOkta FastPassに登録できます。
-
ユーザーがWebAuthnなどのデバイスバウンドAuthenticatorを所有している場合は、それを使用して同じデバイスでOkta FastPassに登録できます。その後、Okta Verifyで[Add account to another device(別のデバイスにアカウントを追加)]オプションを使用して他のデバイスを登録できます。