スマートカードオーセンティケーターを構成する

スマートカードオーセンティケーターの使用方法を説明します。ユーザーがOktaにサインインする際、またはアプリにアクセスする際にスマートカードで認証するようユーザーに要求できます。

スマートカード IDプロバイダー(IdP)を構成するときに選択したセキュリティの特徴に応じて、このオーセンティケーターは次の要素タイプと方式の特徴を満たすことができます。

セキュリティの特徴

要素タイプ 方式の特徴
PIN保護 所有 + 知識 デバイスバウンド

フィッシング耐性

ユーザーの存在

ユーザーの確認

ハードウェア保護 所有 デバイスバウンド

ハードウェア保護

フィッシング耐性

ユーザーの存在

PIN保護とハードウェア保護の両方 所有 + 知識 デバイスバウンド

ハードウェア保護

フィッシング耐性

ユーザーの存在

ユーザーの確認

なし(ソフトウェアベースの証明書) 所有 + 知識 デバイスバウンド

フィッシング耐性

ユーザーの存在

はじめに

スマートカードIdPを1つ以上作成します。

  • 「スマートカードIdPの追加」を参照してください。
  • [Security characteristics(セキュリティの特徴)]で、orgが使用しているスマートカードの構成に合わせて、[PIN protected(PIN保護)]または[Hardware protected(ハードウェア保護)]オプションを選択します。

スマートカードをオーセンティケーターとして追加します。

  1. Admin Consoleで、[Security(セキュリティ)][Authenticators(オーセンティケーター)]に移動します。
  2. [Setup(設定)]タブで、[Add Authenticator(オーセンティケーターを追加)]をクリックします。
  3. [Smart Card Authenticator(スマートカードオーセンティケーター)]タイルの[Add(追加)]をクリックします
  4. [Smart Card Identity Provider (IdP)(スマート カードIDプロバイダー(IdP))]ドロップダウンから、このオーセンティケーターに関連付けるすべてのIdPを選択します。
  5. [Save(保存)]をクリックします。

スマートカードをオーセンティケーターとして使用するためのポリシーを構成する

  1. スマートカードオーセンティケーター向けのオーセンティケーター登録ポリシーを作成します。スマートカードオーセンティケーター向けのポリシーに含まれる[Eligible authenticators(対象オーセンティケーター)]オプションを選択します。

  2. オーセンティケーター登録ポリシールールを構成して、ユーザーがこのオーセンティケーターを使用してアクセスするもの定義します。ルールの[User is accessing(ユーザーのアクセス先)]セクションでオプションの1つを選択します。

  3. スマートカードで保護したいアプリごとに認証ポリシーを作成します。
  4. 認証ポリシールールを追加します[Possession factor constraints(所有要素の制約)]セクションで構成に適用するオプションを選択します。

エンドユーザーエクスペリエンス

ユーザーがスマートカードをオーセンティケーターとして登録する方法は複数あります。

  1. サインインプロセス中に、[Sign-in with PIV(PIVでサインイン)]ボタンをクリックし、指示に従ってスマートカードを登録します。
  2. ステップアップ認証の際に、サインインウィジェットで本人確認を行うとスマートカードの登録を促されます。
  3. スマートカードの登録は[Okta End-User Dashboard] > [Settings(設定)]から行います。

複数のスマートカードを登録する

ユーザーは複数のスマートカードを同時にアクティブ化しておくことができます。ユーザーはスマートカードオーセンティケーターに関連付けられた異なるIdP用に、異なるスマートカードを登録できます。

スマートカードを紛失した場合は、アカウントから削除し、新しいスマートカードを登録する必要があります。

スマートカードを認証に使用する

保護対象のアプリにサインインまたはアクセスをしようとするユーザーにスマートカードの使用を要求できます。ユーザーは、管理者が構成した時間内にスマートカード認証を行う必要があります。認証を行わなかった場合、操作がタイムアウトとなり再認証が必要となります。

関連項目

多要素認証

認証