最初のフィッシング耐性のあるAuthenticatorの登録ルールを追加する
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
orgがフィッシング耐性のあるAuthenticatorをまだ使用していない場合は、このルールをOktaアカウント管理ポリシーに追加します。ユーザーが最初のフィッシング耐性のあるAuthenticatorを登録したら、そのAuthenticatorを他のユースケースで必須とすることができます。
orgがすでにフィッシング耐性のあるAuthenticatorを使用している場合は、「Authenticatorの登録のルールを追加する」を参照してください。
前提条件
このルールは管理対象デバイスとIPゾーンに依存します。
ルールを追加する
-
Admin Consoleでに移動します。
-
[Okta Account Management Policy(Oktaアカウント管理ポリシー)]を選択します。
-
[Add Rule(ルールを追加)]をクリックします。
-
わかりやすいルール名を入力します(「Authenticatorの登録」など)。
-
次のIF条件を設定します。
-
[User type(ユーザータイプ)]:[任意のユーザータイプ]
-
[User group membership includes(ユーザーのグループメンバーシップ:)]:[任意]
-
[User is(ユーザー:)]:[任意]
-
[Device state is(デバイスの状態:)]:[登録済み]
-
[Device management is(デバイス管理:)]:[管理対象]
-
[Device assurance policy is(デバイス保証ポリシー:)]:[ポリシーなし]
-
[Device platform is(デバイスプラットフォーム:)]:[任意のプラットフォーム]
-
[User's IP is(ユーザーのIP:)]:[次のいずれかのゾーン](許可されたネットワークゾーンを指定)
-
[Risk is(リスク:)]:[低]
-
[The following custom expression is true(次のカスタム式をtrueとする)]:accessRequest.operation == 'enroll' && ( accessRequest.authenticator.key == 'okta_verify' || accessRequest.authenticator.key == 'webauthn' || accessRequest.authenticator.key == 'smart_card_idp' || accessRequest.authenticator.key == 'yubikey_token' )
-
-
次のTHEN条件を設定します。
-
[Access is(アクセス:)]:認証の成功後に許可
-
[User must authenticate with(ユーザーが使用する認証方法)]:[Any 2 factor type(任意の2要素タイプ)]
-
[Possession factor constraints are(所有要素の制約:)]:[ユーザーインタラクションが必要]
-
[Authentication methods(認証方法)]:[要件を満たすために使用できる任意の方法を許可]
-
[Prompt for authentication(認証のためのプロンプト)]:ユーザーがリソースにサインインするたび
-
-
[Save(保存)]をクリックします。
-
このルールを優先度1に移動します。
ユーザーエクスペリエンス
ユーザーは、指定されたフィッシング耐性のあるAuthenticatorを登録する前に、信頼できるネットワークゾーン内で管理対象デバイスを使用し、低リスクの行動を取っていることを示す必要があります。ユーザーがこれらの要件を満たさない場合、プロファイル設定のすべてのフィールド(既存のセキュリティ方法の[Reset(リセット)]、[Update(更新)]、[Remove(削除)]オプションを含む)が読み取り専用になります。ユーザーが登録していないフィッシング耐性のあるAuthenticatorは表示されません。これは、フィッシング耐性のある認証ポリシーが割り当てられたアプリにユーザーがアクセスできないことを意味します。
このルールはAuthenticatorの登録解除にも適用され、ユーザーは、あまりにも多くのAuthenticatorを登録解除すると、ロックアウトされる可能性があります。フィッシング耐性のあるAuthenticatorを少なくとも1つ常に保持するようユーザーに勧めてください。