認証ポリシーでの生体認証によるユーザー検証
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
認証ポリシールールを追加すると、パスコードの使用を制限し、ユーザー検証に生体認証を必須とすることができます。
[AND Possession factor constraints are(AND 所有要素の制約:)]設定では、[Require user interaction(ユーザーインタラクションが必要)]で次のいずれかのオプションを選択できます。
- [Any interaction(あらゆるインタラクション)]:このオプションが選択され、認証ポリシーが所有要素を必要とする場合は、Okta Verifyで証明書ベースの認証を実行できます。これにより、ユーザーは物理的に存在することを証明せずにリソースにアクセスできるようになります。このオプションが選択されていない場合、秘密の質問を追加要素として使用できません。
-
[Require device passcode or biometric user verification(デバイスパスコードまたは生体認証によるユーザー検証を必須とする)]:このオプションでは、ユーザーが自分のIDを確認するのにデバイスパスコードを入力するか、生体認証を使用することを必須とします。このオプションを選択した場合、ユーザーは、ユーザーの存在を証明する次のいずれかのAuthenticatorを使用して自分のIDを確認する必要があります。
複数のAuthenticatorを構成することで、ユーザーがロックアウトされるのを防止するとともに、これらのAuthenticatorへの新しい登録がユーザー検証要件を満たすようにします。
ユーザー検証を満たすAuthenticatorへのユーザー登録を要求することもお勧めします。「Authenticator登録ポリシーを作成する」を参照してください。[Authenticator]セクションで、各ユーザーの存在Authenticatorを[Required(必須)]に設定します。
ユーザーがすでにAuthenticatorに登録しているものの、そのAuthenticatorでユーザー検証オプションをアクティブ化(Okta Verifyでの顔または指紋スキャンの有効化など)していない場合、認証することはできません。ユーザーは、これらの登録をリセットして新しい登録に置換するか、Okta Verifyでプッシュ通知または生体検証をアクティブ化する必要があります。
-
[Require biometric user verification(生体認証によるユーザー検証を必須とする)]:このオプションでは、ユーザーが生体認証を使用して認証することを必須とします。ユーザーは、Android、iOS、およびmacOSでOkta FastPassまたはOkta Verify with Pushのいずれかを使用する必要があります。
Windowsの設計によれば、生体認証とPINは同等のWindows Helloオプションです。そのため、このオプションが有効になっている場合は、Windows Hello PINを使用するWindowsユーザーの認証が失敗します。代替方法を使用して認証できるようにする、Windowsユーザー向けの別のルールを設定してください。