認証方法チェーン

認証方法チェーンでは、ユーザーは構成した順序でAuthenticatorを使用して自分のIDを確認する必要があります。アプリ・サインイン・ポリシー・ルールにチェーンを追加し、さまざまな認証シナリオに対応するために複数のチェーンを作成できます。

仕組み

アプリ・サインイン・ポリシー・ルールには、ユーザーがアプリにアクセスする際にどのAuthenticatorを使って認証する必要があるかを指定できます。多要素認証で説明されているように、各Authenticatorは特定の要素タイプと方式の要件を満たします。保証要件を満たすために、複数のAuthenticatorによる検証をユーザーに求めることができます。

認証方法チェーン(Authentication method chain)オプションを利用することで、ユーザーに求める認証方法の順序を設定できます。これにより、ユーザーがアプリに認証される方法をより詳細に制御できます。

  • 認証方法の順序を指定する:ユーザーに認証方法を求める順序を指定できます。たとえば、最初に携帯電話のワンタイムパスコード(OTP)などの所有要素による認証をユーザーに求めます。次に、生体認証によるユーザー認証を備えたOkta Verifyなどの生体認証要素を求めます。または、機密性の高いアプリにアクセスする場合に、最初にWebAuthn、次にOkta FastPassを使用するなど、フィッシング耐性のある2つのAuthenticatorを使った認証を求めます。
  • Authenticatorの方式の特徴を指定する:方式に応じて異なる特徴を持つAuthenticatorでは、どの方式の特徴を求めるかを指定できます。たとえば、Okta FastPassにフィッシング耐性、またはハードウェアによって保護されたスマートカードを求めます。
  • 複数の認証方法チェーンを指定する:各種シナリオに合わせて認証方法チェーンをカスタマイズしたり、複数の開始Authenticatorをユーザーに提供したりできます。たとえば、2つの異なるチェーンから最初のAuthenticatorとしてパスワードとOkta Verifyを提示します。ユーザーが認証にパスワードを使用するのであれば、2番目のAuthenticatorとしてパスキー(FIDO2 WebAuthn)を求めます。ユーザーが認証にOkta Verifyを使用するのであれば、2番目のAuthenticatorとしてGoogle Authenticatorを求めます。
  • 複数の認証方法をワンステップで指定する:チェーンの各ステップをカスタマイズして複数の認証方法を提供できます。ユーザーはこれらの方法のいずれかを使って検証し、次のステップに進むことができます。たとえば、最初のAuthenticatorとしてパスワードまたは電話OTPを使用できるようにし、次に2番目のAuthenticatorとしてパスキー(FIDO2 WebAuthn)を求めます。

認証方法チェーンをセットアップする

  1. アプリ・サインイン・ポリシー・ルールでユーザーが認証に使用する要素(User must authenticate with)ドロップダウンメニューに移動し、認証方法チェーン(Authentication method chain)を選択します。
  2. 最初の認証方法を指定します。この手順を繰り返してこのレベルに複数の認証方法を追加します。
    1. 最初の認証方法(First authentication method)で認証方法を選択します。
    2. Authenticatorによっては、方法の特徴に関連する次のオプションが表示される場合があります。方法に必要な特徴を選択します。
      • フィッシング耐性(Phishing resistant)
      • ハードウェア保護(Hardware protected)
      • ユーザーインタラクション(User interaction)
    3. 任意。追加(+ Add)をクリックして別の最初の認証方法を追加します。
  3. 認証ポリシーで生体認証ユーザー検証を有効にした場合は、 ユーザーインタラクション(User Interaction)(User interaction) セクションが表示されます。「認証ポリシーでの生体認証によるユーザー検証」を参照してください。
  4. ユーザーに認証を求める頻度を認証のためのプロンプト(Prompt for authentication)に指定します。これは再認証頻度とも呼ばれます。
    • ユーザーがリソースにサインインするたび(Every time user signs in to resource):ユーザーは、アプリへのアクセスを試みるたびに認証する必要があります。これは、最も安全なオプションです。
    • アクティブなOktaグローバルセッションによって保護されるリソースにユーザーがサインインしてから指定の時間が経過した場合(When it's been over a specified length of time since the user signed in to any resource protected by the active Okta global session):指定した間隔が経過すると、ユーザーは認証を求められます。
    • Oktaグローバルセッションが存在しない場合(When an Okta global session doesn't exist):アクティブなOktaグローバルセッションを確立していない場合、ユーザーは認証を求められます。Okta
  5. チェーンの次の認証方法を指定します。この手順を繰り返して複数の認証ステップを追加します。
    1. ステップを追加(Add step)をクリックしてチェーンの次の認証方法を追加します。
    2. 方法に必要な要素制約を選択できる場合は、それを選択します。
    3. 任意。追加(+ Add)をクリックしてこのレベルの別の認証方法を追加します。
  6. 任意。認証方法チェーンを追加(Add authentication method chain)をクリックして別の認証方法チェーンを追加します。これらの手順を繰り返してチェーンに認証方法を追加します。
  7. 保存(Save)をクリックします。

認証方法またはチェーンを削除するには、その方法またはチェーンに対応するXボタンをクリックします。

エンドユーザーエクスペリエンス

  • ユーザーは、初めてアプリにアクセスするときに最初のAuthenticatorプロンプトを受け取ります。このチャレンジに合格すると、2番目のプロンプトが表示されます。すべてのチャレンジに合格すると、アプリへのアクセス権が付与されます。
  • アプリに複数のチェーンを作成すると、各チェーンの最初のAuthenticatorがユーザーの認証ページに表示されます。ユーザーがAuthenticatorを選択すると、対応するチェーンがトリガーされます。
  • ユーザーがすでに最初のAuthenticatorで認証されている場合、プロンプトが再認証頻度の時間内であれば、2番目のAuthenticatorを求められます。
  • ユーザーが次回サインインすると、前回のセッションと同じ最初のAuthenticatorを受け取ります。このとき、ユーザーはサインインに戻る(Back to sign in)または何らかの方法で検証(Verify with something else)を使って異なる最初のAuthenticatorを選択できます。
  • グローバルセッションポリシーによってパスワードが求められる場合、ユーザーは最初にパスワードを求められます。正しいパスワードを入力すると、アプリの認証方法チェーンがトリガーされます。
  • ユーザーによる列挙の防止が有効な場合、最初に未知のデバイスでパスワードまたはメールによって検証する必要があります。
  • アイデンティティ脅威保護が有効化されている場合:
    • セッション保護では、Authenticatorの順序は強制されません。
    • ユーザーがセッション保護ポリシールールに含まれるAuthenticatorを使用して検証した場合、セッションは 準拠(Compliant)とマークされます。