最初のフィッシング耐性のあるAuthenticatorの登録にルールを追加する
orgがフィッシング耐性のあるAuthenticatorをまだ使用していない場合は、このルールをOktaアカウント管理ポリシーに追加します。ユーザーが最初のフィッシング耐性のあるAuthenticatorを登録したら、そのAuthenticatorを他のユースケースで必須とすることができます。
orgがすでにフィッシング耐性のあるAuthenticatorを使用している場合は、「Authenticator登録のルールを追加する」を参照してください。
前提条件
orgが第三世代Sign-In Widgetを使用している場合、すべてのブランドをバージョン7.20以降にアップグレードします。
このルールは、IPゾーンに基づいてユーザーに適用されます。「ネットワークゾーン」を参照してください。
ルールを追加する
-
Admin Consoleでに移動します。
-
[Okta Account Management Policy(Oktaアカウント管理ポリシー)]を選択します。
-
[Add Rule(ルールを追加)]をクリックします。
-
わかりやすいルール名を入力します(「Authenticatorの登録」など)。
-
次のIF条件を設定します。
-
[User type(ユーザータイプ)]:[任意のユーザータイプ]
-
[User group membership includes(ユーザーのグループメンバーシップ:)]:[任意]
-
[User is(ユーザー:)]:[任意]
-
[Device platform is(デバイスプラットフォーム)]:任意のプラットフォーム
-
[User's IP is(ユーザーのIP:)]:[次のいずれかのゾーン](許可されたネットワークゾーンを指定)
-
[Risk is(リスク:)]:[低]
- [The following custom expression is true(次のカスタム式をtrueとする)]: accessRequest.operation == 'enroll' && ( accessRequest.authenticator.key == 'okta_verify' || accessRequest.authenticator.key == 'webauthn' || accessRequest.authenticator.key == 'smart_card_idp' || accessRequest.authenticator.key == 'yubikey_token' )
-
-
次のTHEN条件を設定します。
-
[Access is(アクセス:)]:認証の成功後に許可
-
[User must authenticate with(ユーザーが使用する認証方法)]:[Any 2 factor type(任意の2要素タイプ)]
-
[Possession factor constraints are(所有要素の制約:)]:[ユーザーインタラクションが必要]
-
[Authentication methods(認証方法)]:[要件を満たすために使用できる任意の方法を許可]
-
[Prompt for authentication(認証のためのプロンプト)]:ユーザーがリソースにサインインするたび
-
-
[Save(保存)]をクリックします。
-
このルールを優先度1に移動します。
ユーザーエクスペリエンス
ユーザーは、指定されたフィッシング耐性のあるAuthenticatorを登録する前に、信頼できるネットワークゾーン内で、低リスクの動作を行っていることを示す必要があります。これらの要件を満たさない場合、登録していないフィッシング耐性のあるAuthenticatorは、ユーザープロファイルに表示されません。つまり、フィッシング耐性のある認証ポリシーを持つアプリにアクセスすることができません。
このルールはAuthenticatorの登録解除にも適用され、ユーザーは、あまりにも多くのAuthenticatorを登録解除すると、ロックアウトされる可能性があります。フィッシング耐性のあるAuthenticatorを少なくとも1つ常に保持するようユーザーに勧めてください。