スマートカードオーセンティケーターを構成する
スマートカードオーセンティケーターの使用方法を説明します。ユーザーがOktaにサインインする際、またはアプリにアクセスする際にスマートカードで認証するようユーザーに要求できます。
スマートカード IDプロバイダー(IdP)を構成するときに選択したセキュリティの特徴に応じて、このオーセンティケーターは次の要素タイプと方式の特徴を満たすことができます。
セキュリティの特徴 |
要素タイプ | 方式の特徴 |
---|---|---|
PIN保護 | 所有 + 知識 | デバイスバウンド
フィッシング耐性 ユーザーの存在 ユーザーの確認 |
ハードウェア保護 | 所有 | デバイスバウンド ハードウェア保護 フィッシング耐性 ユーザーの存在 |
PIN保護とハードウェア保護の両方 | 所有 + 知識 | デバイスバウンド
ハードウェア保護 フィッシング耐性 ユーザーの存在 ユーザーの確認 |
なし(ソフトウェアベースの証明書) | 所有 + 知識 | デバイスバウンド
フィッシング耐性 ユーザーの存在 |
はじめに
スマートカードIdPを1つ以上作成します。
- 「スマートカードIdPの追加」を参照してください。
- [Security characteristics(セキュリティの特徴)]で、orgが使用しているスマートカードの構成に合わせて、[PIN protected(PIN保護)]または[Hardware protected(ハードウェア保護)]オプションを選択します。
スマートカードをオーセンティケーターとして追加します。
- Admin Consoleで、 に移動します。
- [Setup(設定)]タブで、[Add Authenticator(オーセンティケーターを追加)]をクリックします。
- [Smart Card Authenticator(スマートカードオーセンティケーター)]タイルの[Add(追加)]をクリックします
- [Smart Card Identity Provider (IdP)(スマート カードIDプロバイダー(IdP))]ドロップダウンから、このオーセンティケーターに関連付けるすべてのIdPを選択します。
- [Save(保存)]をクリックします。
スマートカードをオーセンティケーターとして使用するためのポリシーを構成する
-
スマートカードオーセンティケーター向けのオーセンティケーター登録ポリシーを作成します。スマートカードオーセンティケーター向けのポリシーに含まれる[Eligible authenticators(対象オーセンティケーター)]オプションを選択します。
-
オーセンティケーター登録ポリシールールを構成して、ユーザーがこのオーセンティケーターを使用してアクセスするもの定義します。ルールの[User is accessing(ユーザーのアクセス先)]セクションでオプションの1つを選択します。
- スマートカードで保護したいアプリごとに認証ポリシーを作成します。
- 認証ポリシールールを追加します。[Possession factor constraints(所有要素の制約)]セクションで構成に適用するオプションを選択します。
エンドユーザーエクスペリエンス
ユーザーがスマートカードをオーセンティケーターとして登録する方法は複数あります。
- サインインプロセス中に、[Sign-in with PIV(PIVでサインイン)]ボタンをクリックし、指示に従ってスマートカードを登録します。
- ステップアップ認証の際に、サインインウィジェットで本人確認を行うとスマートカードの登録を促されます。
- スマートカードの登録は[Okta End-User Dashboard] > [Settings(設定)]から行います。
複数のスマートカードを登録する
ユーザーは複数のスマートカードを同時にアクティブ化しておくことができます。ユーザーはスマートカードオーセンティケーターに関連付けられた異なるIdP用に、異なるスマートカードを登録できます。
スマートカードを紛失した場合は、アカウントから削除し、新しいスマートカードを登録する必要があります。
スマートカードを認証に使用する
保護対象のアプリにサインインまたはアクセスをしようとするユーザーにスマートカードの使用を要求できます。ユーザーは、管理者が構成した時間内にスマートカード認証を行う必要があります。認証を行わなかった場合、操作がタイムアウトとなり再認証が必要となります。