認証方法チェーン

認証方法チェーンでは、ユーザーは構成した順序でAuthenticatorを使用して自分のIDを確認する必要があります。認証ポリシールールにチェーンを追加し、さまざまな認証シナリオに対応するために複数のチェーンを作成できます。

仕組み

認証ポリシールールには、ユーザーがアプリにアクセスする際にどのAuthenticatorを使って認証する必要があるかを指定できます。「多要素認証」で説明されているように、各Authenticatorは特定の要素タイプと方式の要件を満たします。保証要件を満たすために、複数のAuthenticatorによる検証をユーザーに求めることができます。

Authentication method chain(認証方法チェーン)オプションを利用することで、ユーザーに求める認証方法の順序を設定できます。これにより、ユーザーがアプリに認証される方法をより詳細に制御できます。

  • 認証方法の順序を指定する:ユーザーに認証方法を求める順序を指定できます。たとえば、最初に携帯電話のワンタイムパスコード(OTP)などの所有要素による認証をユーザーに求めます。次に、生体認証によるユーザー認証を備えたOkta Verifyなどの生体認証要素を求めます。または、機密性の高いアプリにアクセスする場合に、最初にWebAuthn、次にOkta FastPassを使用するなど、フィッシング耐性のある2つのAuthenticatorを使った認証を求めます。
  • Authenticatorの方式の特徴を指定する:方式に応じて異なる特徴を持つAuthenticatorでは、どの方式の特徴を求めるかを指定できます。たとえば、Okta FastPassにフィッシング耐性、またはハードウェアによって保護されたスマートカードを求めます。
  • 複数の認証方法チェーンを指定する:各種シナリオに合わせて認証方法チェーンをカスタマイズしたり、複数の開始Authenticatorをユーザーに提供したりできます。たとえば、2つの異なるチェーンから最初のAuthenticatorとしてパスワードとOkta Verifyを提示します。ユーザーが認証にパスワードを使用するのであれば、2番目のAuthenticatorとしてFIDO2(WebAuthn)を求めます。ユーザーが認証にOkta Verifyを使用するのであれば、2番目のAuthenticatorとしてGoogle Authenticatorを求めます。
  • 複数の認証方法をワンステップで指定する:チェーンの各ステップをカスタマイズして複数の認証方法を提供できます。ユーザーはこれらの方法のいずれかを使って検証し、次のステップに進むことができます。たとえば、最初のAuthenticatorとしてパスワードまたは電話OTPを使用できるようにし、次に2番目のAuthenticatorとしてFIDO2(WebAuthn)を求めます。

認証方法チェーンをセットアップする

  1. 認証ポリシールールで[User must authenticate with(ユーザーが認証に使用する要素)]ドロップダウンメニューに移動し、[Authentication method chain(認証方法チェーン)]を選択します。
  2. 最初の認証方法を指定します。この手順を繰り返してこのレベルに複数の認証方法を追加します。
    1. [First authentication method(最初の認証方法)]で認証方法を選択します。
    2. Authenticatorによっては、方法の特徴に関連する次のオプションが表示される場合があります。方法に必要な特徴を選択します。
      • Phishing resistant(フィッシング耐性)
      • Hardware protected(ハードウェア保護)
      • User interaction(ユーザーインタラクション)
    3. 任意。[+ Add(追加)]をクリックして別の最初の認証方法を追加します。
  3. ユーザーに認証を求める頻度を[Prompt for authentication(認証のためのプロンプト)]に指定します。これは再認証頻度とも呼ばれます。
    • [Every time user signs in to resource(ユーザーがリソースにサインインするたび)]:ユーザーは、アプリへのアクセスを試みるたびに認証する必要があります。これは、最も安全なオプションです。
    • [When it's been over a specified length of time since the user signed in to any resource protected by the active Okta global session(アクティブなOktaグローバルセッションによって保護されるリソースにユーザーがサインインしてから指定の時間が経過した場合)]:指定した間隔が経過すると、ユーザーは認証を求められます。
    • [When an Okta global session doesn't exist(Oktaグローバルセッションが存在しない場合)]:アクティブなOktaグローバルセッションを確立していない場合、ユーザーは認証を求められます。
  4. チェーンの次の認証方法を指定します。この手順を繰り返して複数の認証ステップを追加します。
    1. [Add step(ステップを追加)]をクリックしてチェーンの次の認証方法を追加します。
    2. 方法に必要な要素制約を選択できる場合は、それを選択します。
    3. 任意。[+ Add(追加)]をクリックしてこのレベルの別の認証方法を追加します。
  5. 任意。[Add authentication method chain(認証方法チェーンを追加)]をクリックして別の認証方法チェーンを追加します。これらの手順を繰り返してチェーンに認証方法を追加します。
  6. [Save(保存)]をクリックします。

認証方法またはチェーンを削除するには、その方法またはチェーンに対応する[X]ボタンをクリックします。

エンドユーザーエクスペリエンス

  • ユーザーは、初めてアプリにアクセスするときに最初のAuthenticatorプロンプトを受け取ります。このチャレンジに合格すると、2番目のプロンプトが表示されます。すべてのチャレンジに合格すると、アプリへのアクセス権が付与されます。
  • アプリに複数のチェーンを作成すると、各チェーンの最初のAuthenticatorがユーザーの認証ページに表示されます。ユーザーがAuthenticatorを選択すると、対応するチェーンがトリガーされます。
  • ユーザーがすでに最初のAuthenticatorで認証されている場合、プロンプトが再認証頻度の時間内であれば、2番目のAuthenticatorを求められます。
  • ユーザーが次回サインインすると、前回のセッションと同じ最初のAuthenticatorを受け取ります。このとき、ユーザーは[Back to sign in(サインインに戻る)]または[Verify with something else(何らかの方法で検証)]を使って異なる最初のAuthenticatorを選択できます。
  • グローバルセッションポリシーによってパスワードが求められる場合、ユーザーは最初にパスワードを求められます。正しいパスワードを入力すると、アプリの認証方法チェーンがトリガーされます。
  • ユーザーによる列挙の防止が有効な場合、最初に未知のデバイスでパスワードまたはメールによって検証する必要があります。
  • Identity Threat Protectionが有効化されている場合:
    • 認証後のセッション評価では、Authenticatorの順序は強制されません。
    • ユーザーが認証後のセッションルールに含まれるAuthenticatorを使用して検証した場合、セッションは 準拠とマークされます。