最初のフィッシング耐性のあるAuthenticatorの登録にルールを追加する

orgがフィッシング耐性のあるAuthenticatorをまだ使用していない場合は、このルールをOktaアカウント管理ポリシーに追加します。ユーザーが最初のフィッシング耐性のあるAuthenticatorを登録したら、そのAuthenticatorを他のユースケースで必須とすることができます。

orgがすでにフィッシング耐性のあるAuthenticatorを使用している場合は、Authenticator登録のルールを追加するを参照してください。

前提条件

orgが第三世代Sign-In Widget を使用している場合、すべてのブランドをバージョン7.20以降にアップグレードします。

このルールは、IPゾーンに基づいてユーザーに適用されます。「ネットワークゾーン」を参照してください。

ポリシーでデバイス条件を使用する場合は、Oktaアカウント管理ポリシー（Okta account management policies）（Device conditions in Okta account management policies）の早期アクセス機能を有効にしてください。セルフサービス機能を有効にするを参照してください。

ルールを追加する

1. Admin Consoleでセキュリティ（Security） > 認証ポリシー に移動します。

2. Okta account managementを選択します。
3. ルールを追加（Add Rule）をクリックします。
4. わかりやすいルール名を入力します（Authenticator enrollmentなど）。
5. 次のIF条件を設定します。デバイス条件は早期アクセス機能です。
   • ユーザーのユーザータイプ（User's user type is）：［任意のユーザータイプ］
   • ユーザーのグループメンバーシップ（User's group membership includes）：［任意］
   • ユーザー：（User is）：［任意］
   • デバイスの状態：（Device state is）：［登録済み］
   • デバイス管理：（Device management is）管理対象（：［Managed）］
   • デバイス保証ポリシー：（Device assurance policy is）：［いずれかのポリシー］
   • デバイスプラットフォーム（Device platform is）：任意のプラットフォーム
   • ユーザーのIP：（User's IP is）：［次のいずれかのゾーン］（許可されたネットワークゾーンを指定）
   • リスク：（Risk is）：［低］
   • 次のカスタム式をtrueとする（The following custom expression is true）：

     accessRequest.operation == 'enroll' && ( accessRequest.authenticator.key == 'okta_verify' || accessRequest.authenticator.key == 'webauthn' || accessRequest.authenticator.key == 'smart_card_idp' || accessRequest.authenticator.key == 'yubikey_token' )

     式の中でデバイス関連の操作も使用できます。

6. 次のTHEN条件を設定します。
   • アクセス：（Access is）：認証の成功後に許可
   • ユーザーが使用する認証方法（User must authenticate with）：任意の2要素タイプ
     注:

     任意の2要素タイプを選択する場合、ユーザーがすでに2つのAuthenticatorに登録されている必要があります。そうでない場合、ユーザーの認証がブロックされます。ユーザーがフィッシング耐性のあるauthenticatorに登録する前に、少なくとも2つのAuthenticatorへ登録するようユーザーに求めてください。

   • 所有要素の制約：（Possession factor constraints are）：［ユーザーインタラクションが必要］
   • 認証方法（Authentication methods）：［要件を満たすために使用できる任意の方法を許可］
   • 認証のためのプロンプト（Prompt for authentication）：ユーザーがリソースにサインインするたび
7. 保存（Save）をクリックします。
8. このルールを優先度1に移動します。

ユーザーエクスペリエンス

ユーザーは、指定されたフィッシング耐性のあるAuthenticatorを登録する前に、信頼できるネットワークゾーン内で、低リスクの動作を行っていることを示す必要があります。これらの要件を満たさない場合、登録していないフィッシング耐性のあるAuthenticatorは、ユーザープロファイルに表示されません。つまり、フィッシング耐性のあるアプリ・サインイン・ポリシーを持つアプリにアクセスすることができません。

このルールはAuthenticatorの登録解除にも適用され、ユーザーは、あまりにも多くのAuthenticatorを登録解除すると、ロックアウトされる可能性があります。フィッシング耐性のあるAuthenticatorを少なくとも1つ常に保持するようユーザーに勧めてください。

関連項目

Oktaアカウント管理ポリシー（Okta account management policy）

パスワードの復旧とアカウントのロック解除のルールを追加する