最初のフィッシング耐性のあるAuthenticatorの登録にルールを追加する
orgがフィッシング耐性のあるAuthenticatorをまだ使用していない場合は、このルールをOktaアカウント管理ポリシーに追加します。ユーザーが最初のフィッシング耐性のあるAuthenticatorを登録したら、そのAuthenticatorを他のユースケースで必須とすることができます。
orgがすでにフィッシング耐性のあるAuthenticatorを使用している場合は、「Authenticator登録のルールを追加する」を参照してください。
前提条件
orgが第三世代Sign-In Widgetを使用している場合、すべてのブランドをバージョン7.20以降にアップグレードします。
このルールは、IPゾーンに基づいてユーザーに適用されます。「ネットワークゾーン」を参照してください。
ルールを追加する
-
Admin Consoleで に移動します。
- [Okta Account Management Policy(Oktaアカウント管理ポリシー)]を選択します。
- [Add Rule(ルールを追加)]をクリックします。
- わかりやすいルール名を入力します(「Authenticatorの登録」など)。
- 次のIF条件を設定します。
- [User type(ユーザータイプ)]:[任意のユーザータイプ]
- [User group membership includes(ユーザーのグループメンバーシップ:)]:[任意]
- [User is(ユーザー:)]:[任意]
- [Device state is(デバイスの状態:)]:[登録済み]
- [Device management is(デバイス管理:)]:[Managed(管理対象)]
- [Device platform is(デバイスプラットフォーム)]:任意のプラットフォーム
- [User's IP is(ユーザーのIP:)]:[次のいずれかのゾーン](許可されたネットワークゾーンを指定)
- [Risk is(リスク:)]:[低]
- [The following custom expression is true(次のカスタム式をtrueとする)]:
accessRequest.operation == 'enroll' && ( accessRequest.authenticator.key == 'okta_verify' || accessRequest.authenticator.key == 'webauthn' || accessRequest.authenticator.key == 'smart_card_idp' || accessRequest.authenticator.key == 'yubikey_token' )
- 次のTHEN条件を設定します。
- [Access is(アクセス:)]:認証の成功後に許可
- [User must authenticate with(ユーザーが使用する認証方法)]:任意の2要素タイプ
任意の2要素タイプを選択する場合、ユーザーがすでに2つのAuthenticatorに登録されている必要があります。そうでない場合、ユーザーの認証がブロックされます。ユーザーがフィッシング耐性のあるauthenticatorに登録する前に、少なくとも2つのAuthenticatorへ登録するようユーザーに求めてください。
- [Possession factor constraints are(所有要素の制約:)]:[ユーザーインタラクションが必要]
- [Authentication methods(認証方法)]:[要件を満たすために使用できる任意の方法を許可]
- [Prompt for authentication(認証のためのプロンプト)]:ユーザーがリソースにサインインするたび
- [Save(保存)]をクリックします。
- このルールを優先度1に移動します。
ユーザーエクスペリエンス
ユーザーは、指定されたフィッシング耐性のあるAuthenticatorを登録する前に、信頼できるネットワークゾーン内で、低リスクの動作を行っていることを示す必要があります。これらの要件を満たさない場合、登録していないフィッシング耐性のあるAuthenticatorは、ユーザープロファイルに表示されません。つまり、フィッシング耐性のある認証ポリシーを持つアプリにアクセスすることができません。
このルールはAuthenticatorの登録解除にも適用され、ユーザーは、あまりにも多くのAuthenticatorを登録解除すると、ロックアウトされる可能性があります。フィッシング耐性のあるAuthenticatorを少なくとも1つ常に保持するようユーザーに勧めてください。