認証方法チェーン

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

認証ポリシールールの追加時に認証方法チェーンを作成できます。作成した場合、ユーザーは指定された順序で複数の認証方法を使って検証を行う必要があります。ルールに複数の認証方法チェーンを作成し、さまざまなユースケースやシナリオに対応できます。

仕組み

認証ポリシールールには、ユーザーがアプリにアクセスする際にどのAuthenticatorを使って認証する必要があるかを指定できます。「多要素認証」で説明されているように、各Authenticatorは特定の要素タイプと方式の要件を満たします。保証要件を満たすために、複数の認証システムによる検証をユーザーに求めることができます。

Authentication method chain(認証方法チェーン)オプションを利用することで、ユーザーに求める認証方法の順序を設定できます。これにより、ユーザーがアプリに認証される方法をより詳細に制御できます。

  • 認証方法の順序を指定する:ユーザーに認証方法を求める順序を指定できます。たとえば、最初に携帯電話のワンタイムパスコード(OTP)などの所有要素による認証をユーザーに求めます。次に、生体認証によるユーザー認証を備えたOkta Verifyなどの生体認証要素を求めます。または、機密性の高いアプリにアクセスする場合に、最初にWebAuthn、次にOkta FastPassを使用するなど、フィッシング耐性のある2つのAuthenticatorを使った認証を求めます。
  • Authenticatorの方式の特徴を指定する:方式に応じて異なる特徴を持つオーセンティケーターでは、どの方式の特徴を求めるかを指定できます。たとえば、Okta FastPassではユーザーの操作を求めるか、ハードウェアによって保護されたスマートカードを求めます。
  • 複数の認証方法チェーンを指定する:各種シナリオに合わせて認証方法チェーンをカスタマイズしたり、複数の開始Authenticatorをユーザーに提供したりできます。たとえば、2つの異なるチェーンから最初のAuthenticatorとしてパスワードとOkta Verifyを提示します。ユーザーが認証にパスワードを使用するのであれば、2番目のAuthenticatorとしてFIDO2(WebAuthn)を求めます。ユーザーが認証にOkta Verifyを使用するのであれば、2番目のAuthenticatorとしてGoogle Authenticatorを求めます。
  • 複数の認証方法をワンステップで指定する:チェーンの各ステップをカスタマイズして複数の認証方法を提供できます。ユーザーはこれらの方法のいずれかを使って検証し、次のステップに進むことができます。たとえば、最初のAuthenticatorとしてパスワードまたは電話OTPを使用できるようにし、次に2番目のオーセンティケーターとしてFIDO2(WebAuthn)を求めます。

認証方法チェーンをセットアップする

  1. 認証ポリシールールで[User must authenticate with(ユーザーが認証に使用する要素)]ドロップダウンメニューに移動し、[Authentication method chain(認証方法チェーン)]を選択します。

  2. 最初の認証方法を指定します。この手順を繰り返してこのレベルに複数の認証方法を追加します。

    1. [First authentication method(最初の認証方法)]ドロップダウンメニューで認証方法を選択します。

    2. Authenticatorによっては、方式の特徴に関連する次のオプションが表示される場合があります。

      • Phishing resistant(フィッシング耐性)

      • Hardware protected(ハードウェア保護)

      • Require user interaction(ユーザーインタラクションを求める)

      • Require PIN or biometric user verification(PINまたは生体認証によるユーザー検証を求める)

      方式に必要な特徴を選択します。

    3. 任意。[+ Add(追加)]をクリックして別の最初の認証方法を追加します。

  3. チェーンの次の認証方法を指定します。この手順を繰り返して複数の認証ステップを追加します。

    1. [Add step(ステップを追加)]をクリックしてチェーンの次の認証方法を追加します。

    2. 方法に必要な要素制約を選択できる場合は、それを選択します。

    3. 任意。[+ Add(追加)]をクリックしてこのレベルの別の認証方法を追加します。

  4. 任意。[Add authentication method chain(認証方法チェーンを追加)]をクリックして別の認証方法チェーンを追加します。上記手順を繰り返してチェーンに認証方法を追加します。

  5. ユーザーに認証を求める頻度を[Prompt for authentication(認証のためのプロンプト)]に指定します。これは再認証頻度とも呼ばれます。

    • [Every time user signs in to resource(ユーザーがリソースにサインインするたび)]:ユーザーは、アプリへのアクセスを試みるたびに認証する必要があります。これは、最も安全なオプションです。

    • [When it's been over a specified length of time since the user signed in to any resource protected by the active Okta global session(アクティブなOktaグローバルセッションによって保護されるリソースにユーザーがサインインしてから指定の時間が経過した場合)]:指定した間隔が経過すると、ユーザーは認証を求められます。

    • [When an Okta global session doesn't exist(Oktaグローバルセッションが存在しない場合)]:アクティブなOktaグローバルセッションを確立していない場合、ユーザーは認証を求められます。

  6. [Save(保存)]をクリックします。

認証方法またはチェーンを削除するには、その方法またはチェーンに対応する[X]ボタンをクリックします。

エンドユーザーエクスペリエンス

ユーザーがアプリへのアクセスを試みると、認証方法チェーンに指定された最初のAuthenticatorによる認証が求められます。このプロンプトが正しく完了すると、チェーン内の次のAuthenticatorによる認証が求められます。チェーンに指定されているすべてのAuthenticatorプロンプトが正しく完了すると、アプリへのアクセスが許可されます。

アプリ向けに複数の認証チェーンを指定した場合、ユーザーの認証ページにこれらのチェーンの最初のAuthenticatorがすべて表示されます。ユーザーはそのうちの1つを選択し、プロンプトを完了します。選択した最初のAuthenticatorに応じて、対応する認証方法チェーンがトリガーされます。最初のAuthenticatorプロンプトが正しく完了すると、チェーン内の次のAuthenticatorによる認証が求められます。チェーンに指定されているすべてのAuthenticatorプロンプトが正しく完了すると、アプリへのアクセスが許可されます。

場合によっては、Oktaまたは別のアプリへのサインインや、アカウントまたはパスワードのリセットなど、別のアクティビティの最初の認証方法の1つを使ってユーザーがすでに認証されている可能性もあります。この認証プロンプトが再認証頻度の時間内であった場合、対応する認証方法チェーン内の次の認証方法が直接求められます。

ユーザーが以前にいずれかの最初の認証方法を使って認証を行っている場合、デフォルトでは、次のサインイン試行時に同じ方法が表示されます。このとき、ユーザーは[Back to sign in(サインインに戻る)]または[Verify with something else(何らかの方法で検証)]オプションを使って別の最初の認証方法を選択できます。

グローバルセッションポリシーによってパスワードが求められる場合、ユーザーは最初にパスワードを求められます。正しいパスワードを指定すると、アプリの認証方法チェーンがトリガーされます。同様に、ユーザーによる列挙の防止が有効な場合、認証方法チェーンのセットアップに関係なく、最初に未知のデバイスでパスワードまたはメールによって検証する必要があります。

orgでIdentity Threat Protectionが有効化されている場合、認証後のセッション評価では認証方法の順序は強制されません。認証後のセッション評価中に該当するルールの認証方法を使ってユーザーが正しく検証された場合、セッションは準拠としてマークされます。