本人確認ベンダーをIDプロバイダーとして追加する
Oktaでは、本人確認(IDV)ベンダーをIDプロバイダー(IdP)として構成することができます。これにより、適切なユーザーがオンボーディングまたはアカウントのリセットを行っていることを確認するために、本人確認を要求することができます。
本人確認は、情報提供者がその身元の正当な所有者であることを確認するのに役立ちます。このプロセスには、デバイスインテリジェンス、知識ベース認証(KBA)の質問、生体認証、多要素認証(MFA)など、さまざまな方法が含まれます。IDVベンダーは、ユーザーの政府発行の本人確認書類をチェックし、ライブネスチェックのためにセルフィ―撮影を行うよう促します。
本人確認によって組織内のフィッシング耐性はさらに強化されます。
開始する前に
- IDVベンダーのIdPには、ルーティングルールは使用できません。
- Okta orgのURLをIDVベンダーの許可リストに追加します。
- IncodeまたはCLEAR Verified IDVベンダーを使用する場合は、次のURL形式(コールバックパスを含む)を使用します。
https://org-name.okta.com/idp/identity-verification/callback
- Persona IDVベンダーを使用する場合は、次のURL形式を使用します。
org-name.okta.com
- IncodeまたはCLEAR Verified IDVベンダーを使用する場合は、次のURL形式(コールバックパスを含む)を使用します。
- IDVベンダーがOktaからのリクエストを拒否した場合は、トラブルシューティング情報についてベンダーのイベントログを確認してください。
サポートされているIDVベンダー
Oktaでは、次のIDVベンダーをIdPとして追加することがサポートされています。
- Persona:Okta統合の概要
このタスクを開始する
-
Admin Consoleで、 に移動します。
- [Add Identity Provider(IDプロバイダーを追加)]をクリックします。
- IDVベンダーを選択し、[Next(次へ)]をクリックします。[Configure <IDV vendor name> identity verification(<IDVベンダー名>の本人確認を構成する)]ページが表示されます。
- このページにIDVベンダーの詳細を入力します。IDVベンダーごとに使用するフィールド名は異なります。各フィールド名を検索するには、IDVベンダーのダッシュボードを参照してください。
- 任意。IDVベンダーであいまい一致をセットアップします。IDVベンダー提供のドキュメントを参照してください。Oktaは、[First Name(名)]と[Last Name(姓)]のプロファイル属性をUniversal DirectoryからIDVベンダーに渡します。
- [Finish(終了)]をクリックします。[IDプロバイダー]ページのリストにIDVベンダーが表示されます。
IDVベンダーのIdPを更新するには、
に移動します。IDVベンダーのIdPを非アクティブ化するには、
に移動します。IdPは非アクティブ化した後で削除することができます。OktaからIDVベンダーのIdPにプロファイル属性をマッピングする
Oktaでは、Oktaから本人確認(IDV)ベンダーにプロファイル属性をマッピングすることができます。マッピングは、OktaからIDVベンダーへの一方向です。マッピングにより、IDVベンダーがユーザーのIDを正しく処理できるようになります。この手順は、[Identity Providers(IDプロバイダー)]ページまたは[Profile Editor]ページから開始できます。
IDプロバイダーページから開始する
-
Admin Consoleで、 に移動します。
- プロファイル属性をマッピングするIDVベンダーの[Actions(アクション)]をクリックします。
- [Edit profile and mappings(プロファイルとマッピングを編集)]を選択します。[Profile editor(プロファイルエディター)]ページが表示されます。
- [Mapping(マッピング)]をクリックします。複数のユーザータイプが使用可能な場合は、ドロップダウンメニューからいずれかを選択します。IDVベンダーの[User Profile Mappings(ユーザープロファイルのマッピング)]ページが表示されます。
- OktaからIDVベンダーに属性をマッピングする手順に進みます。
Profile Editorから開始する
-
Admin Consoleで、 に移動します。
- 属性をマッピングするIDVベンダープロファイルの[Mappings(マッピング)]をクリックします。複数のユーザータイプが使用可能な場合は、ドロップダウンメニューからこのユーザータイプを選択します。IDVベンダーの[User Profile Mappings(ユーザープロファイルのマッピング)]ページが表示されます。
- OktaからIDVベンダーに属性をマッピングする手順に進みます。
OktaからIDVベンダーに属性をマッピングする
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
少なくとも、ユーザーの名と姓の属性をマッピングします。これにより、IDVベンダーがリクエストをより正確に処理できるようになります。必要に応じて他の属性をマッピングします。
- 右側の列でIDVベンダーの属性の名前を見つけます。
- 左側のOkta列で、対応するIDVベンダーの属性の横にある三角形をクリックします。
- リストから、IDVベンダー属性にマッピングするOkta属性を選択します。Okta Expression Languageを使用して属性名を生成することもできます。たとえば、IDVベンダーが名[given_name]を呼び出した場合、[user.firstName]や[user.legalName]などのOkta属性をそれにマッピングすることができます。
一部のIDVベンダーは、すべてのアドレス属性を単一のコンポーネントとして処理します。アドレス確認時にエラーを回避するために、以下の属性をすべてマッピングします。
- streetAddress
- locality
- region
- postalCode
- countryCode
アドレスの処理方法の詳細については、IDVベンダーのドキュメントをご参照ください。
- マッピングする属性ごとに、これらの手順を繰り返します。
- [Save mappings(マッピングを保存)]をクリックします。または、変更をプレビューするために、[Preview(プレビュー)]の横のフィールドにユーザー名を入力し、[Preview(プレビュー)]をクリックします。Oktaでは、IDVベンダー列にユーザーの名と姓が表示されます。
- [Exit preview(プレビューを終了)]をクリックします。
- [Apply updates(更新を適用)]をクリックします。Oktaでは、[Attributes(属性)]リストに属性が表示されます。
- 属性をIDVベンダーへクレームで送信することを要求するには、属性の[i]アイコンを選択します。
- [Attribute required(必須属性)]オプションの[Yes(はい)]を選択します。
- [Save Attribute(属性を保存)]をクリックします。