最初のフィッシング耐性のあるAuthenticatorの登録にルールを追加する

orgがフィッシング耐性のあるAuthenticatorをまだ使用していない場合は、このルールをOktaアカウント管理ポリシーに追加します。ユーザーが最初のフィッシング耐性のあるAuthenticatorを登録したら、そのAuthenticatorを他のユースケースで必須とすることができます。

orgがすでにフィッシング耐性のあるAuthenticatorを使用している場合は、「Authenticator登録のルールを追加する」を参照してください。

前提条件

orgが第三世代Sign-In Widgetを使用している場合、すべてのブランドをバージョン7.20以降にアップグレードします。

このルールは、IPゾーンに基づいてユーザーに適用されます。「ネットワークゾーン」を参照してください。

ルールを追加する

  1. Admin Console[Security(セキュリティ)][Authentication Policies(認証ポリシー)]に移動します。

  2. [Okta Account Management Policy(Oktaアカウント管理ポリシー)]を選択します。
  3. [Add Rule(ルールを追加)]をクリックします。
  4. わかりやすいルール名を入力します(「Authenticatorの登録」など)。
  5. 次のIF条件を設定します。
    • [User type(ユーザータイプ)]:[任意のユーザータイプ]
    • [User group membership includes(ユーザーのグループメンバーシップ:)]:[任意]
    • [User is(ユーザー:)]:[任意]
    • [Device state is(デバイスの状態:)]:[登録済み]
    • [Device management is(デバイス管理:)]:[Managed(管理対象)]
    • [Device platform is(デバイスプラットフォーム)]:任意のプラットフォーム
    • [User's IP is(ユーザーのIP:)]:[次のいずれかのゾーン](許可されたネットワークゾーンを指定)
    • [Risk is(リスク:)]:[低]
    • [The following custom expression is true(次のカスタム式をtrueとする)]

      accessRequest.operation == 'enroll' && ( accessRequest.authenticator.key == 'okta_verify' || accessRequest.authenticator.key == 'webauthn' || accessRequest.authenticator.key == 'smart_card_idp' || accessRequest.authenticator.key == 'yubikey_token' )

  6. 次のTHEN条件を設定します。
    • [Access is(アクセス:)]:認証の成功後に許可
    • [User must authenticate with(ユーザーが使用する認証方法)]:任意の2要素タイプ

      任意の2要素タイプを選択する場合、ユーザーがすでに2つのAuthenticatorに登録されている必要があります。そうでない場合、ユーザーの認証がブロックされます。ユーザーがフィッシング耐性のあるauthenticatorに登録する前に、少なくとも2つのAuthenticatorへ登録するようユーザーに求めてください。

    • [Possession factor constraints are(所有要素の制約:)]:[ユーザーインタラクションが必要]
    • [Authentication methods(認証方法)]:[要件を満たすために使用できる任意の方法を許可]
    • [Prompt for authentication(認証のためのプロンプト)]:ユーザーがリソースにサインインするたび
  7. [Save(保存)]をクリックします。
  8. このルールを優先度1に移動します。

ユーザーエクスペリエンス

ユーザーは、指定されたフィッシング耐性のあるAuthenticatorを登録する前に、信頼できるネットワークゾーン内で、低リスクの動作を行っていることを示す必要があります。これらの要件を満たさない場合、登録していないフィッシング耐性のあるAuthenticatorは、ユーザープロファイルに表示されません。つまり、フィッシング耐性のある認証ポリシーを持つアプリにアクセスすることができません。

このルールはAuthenticatorの登録解除にも適用され、ユーザーは、あまりにも多くのAuthenticatorを登録解除すると、ロックアウトされる可能性があります。フィッシング耐性のあるAuthenticatorを少なくとも1つ常に保持するようユーザーに勧めてください。

関連項目

Oktaアカウント管理ポリシー

パスワードの復旧とアカウントのロック解除のルールを追加する