Symantec VIP Authenticatorの構成

Symantec Validation and ID Protection Service(VIP)は、デバイスバウンドの所有要素であり、ユーザーの存在を確認します。これは、ユーザーがSymantec VIPアプリによって生成される時間ベースのパスコードを入力してサインインできるようにするクラウドベースの認証サービスです。

はじめに

OktaSymantec VIP Authenticatorを構成するには以下が必要です。

  • Symantec VIP Managerの管理者アカウント
  • .p12PKCS#12)ファイル形式のSymantec VIP Managerからの証明書
  • 証明書を取得するために使用したVIP Managerのパスワード

Symantec VIPAuthenticatorを追加する

  1. Admin Console[Security(セキュリティ)][Authenticator]に移動します。

  2. [設定]タブで、[Add authenticator(Authenticatorを追加)]をクリックします。

  3. [Symantec VIP]タイルの[Add(追加)]をクリックします。
  4. VIP証明書をアップロードします。
  5. VIP Managerのパスワードを入力します。
  6. [Add(追加)]をクリックします。[Setup(設定)]タブのリストにAuthenticatorが表示されます。

Authenticator登録ポリシーにSymantec VIP Authenticatorを追加する

[Authenticator][Enrollment(登録)]タブに移動し、新規または既存のAuthenticator登録ポリシーにAuthenticatorを追加します。「Authenticator登録ポリシーを作成する」を参照してください。

Symantec VIP Authenticatorを編集または削除する

Authenticatorを編集または削除する前に、このAuthenticatorを使用する既存のポリシーの更新が必要になる場合があります。

  1. [Authenticator]で、[Setup(設定)]タブに移動します。
  2. Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]または[Delete(削除)]を選択します。

VIP証明書を置換する

有効期限切れの、または取り消されたVIP証明書はVIP認証の失敗につながる可能性があります。そのため、VIP証明書が有効期限切れになるか、取り消される前に、証明書を置換する必要があります。証明書は通常2年間有効です。証明書の有効期限は[Setup(設定)]タブに表示されます。

証明書を置換するには、以下の手順に従います。

  1. Authenticatorの横にある[Actions(アクション)]ドロップダウンメニューを開き、[Edit(編集)]を選択します。
  2. [Replace certificate(証明書を置換)]をクリックして新しい証明書をアップロードします。
  3. Symantec VIP Managerから証明書を取得したときに使用したパスワードを入力します。
  4. [Add(追加)]をクリックします。

エンドユーザーエクスペリエンス

エンドユーザーは、自分のモバイルデバイスにVIP Accessをインストールします。最初のサインイン時に、Symantec VIP Authenticatorのセットアップを求められます。エンドユーザーは、OktaサインインプロセスとVIP Accessアプリの指示に従います。次回以降のサインインでは、モバイルデバイスのVIP Accessアプリによって生成された時間ベースのパスコードを入力し、サインインプロセスを続行します。

ユーザーは、Okta[Settings(設定)]ページからOktaベースの登録を削除すると、他の非Okta Symantec VIP登録から登録解除されます。この場合、ユーザーは非OktaベースのSymantec VIP登録に再登録する必要があります。

Oktaでは、Oktaに登録されたサードパーティOTP Authenticatorから試行された認証の失敗にレート制限が適用されます。このAuthenticatorには、Google Authenticator、Symantec VIP、YubiKey OTPが含まれます。レート制限は、これらのいずれかまたはすべてのAuthenticatorから5分間で合計5回試行に失敗すると発生します。ユーザーがこのレート制限を超過すると、レート制限が終わるまでサインインできなくなります。このような試行はSystem Logに記録されます。

関連項目

多要素認証