認証の確実性を担保する方法は状況によって異なるため、どのユーザやアプリに対しても同じ方式が妥当であるとは限りません。Oktaは様々な種類のMFAを提供し、ユーザやアプリの要件に応じたMFAを利用することが可能です。

例：

• SMSは、携帯電話の電波が悪い地域では届かない
• 秘密の質問は、ソーシャルハッキングを受けやすい、ユーザが忘れる可能性あり
• 物理トークンは、紛失するリスク
• 生体認証は、そもそもデバイス側で対応していなければ使えない

• Security > Multifactor 画面へ遷移

• 有効にしたい要素を選択し、Inactive → Activate へと変更

※上記はYubikeyを有効にした場合

• Factor Enrollment 項目を選択し、Add Multifactor Policyをクリック

• Policy nameを入力し、Assign to groupsにて適用グループを選択

• Effective factors部分でMFAファクターの適用条件をOptional, Required, Disabledから選択し、Create Policyをクリック

• MFAファクターの登録タイミングを設定。Add Rule画面が表示されるので、Rule Nameを入力し、Enroll in multi-factorにて該当条件を選択

• Create Ruleをクリックし、新規ポリシー・ルールの追加完了

※上記はEnroll in multi-factorへthe first time a user is challenged for MFAを選択した場合

• Security > Authentication 画面へ遷移。Sign On項目を選択し、Add New Okta Sign-on Policyをクリック

• Policy Nameを入力し、Assign to Groupsにて適用グループを選択し、Create Policy and Add Ruleをクリック

※上記はAssign to groupsへtestを選択した場合

• Sing On時のMFA利用条件を設定するAdd Rule画面が表示されるので、Password / Any IDP + Any factorを選択し、Create Ruleをクリック

• 新規ポリシー・ルールの追加完了

• MFA適用されるユーザでログイン。パスワード認証後、MFAファクターのセットアップが要求されるので、使用するファクターの設定をクリック

• 使用するMFA要素を登録

※上記はOkta Verifyの登録画面

• 再度ログインすると、登録した要素(Okta Verify)が表示される。認証が許可されるとOkta portal画面へ遷移

• Security > Networks 画面へ遷移

• Add Zoneクリック後、IP Zoneをクリック

※今回はIPアドレスを指定するためIP Zoneを選択しているが、Dynamic Zoneを選択することでアクセス場所(東京等)を指定することも可能

• Zone Nameを入力し、Gate IPsへ指定するIPアドレスを設定し、Saveをクリック

※IPアドレスは以下例のように設定可能
・固定IP 10.0.0.1-10.0.0.1
・範囲指定 10.0.0.1-10.0.0.10
・サブネットマスク 10.0.0.0/24

• 指定IPアドレスのZone追加完了

• Security > Authentication 画面へ遷移、Sign Onタブを選択し、Add Ruleをクリック

※ポリシー及び全てのアクセスでMFA認証必須のルールは別途作成済み

• Rule Nameを入力、適用するZoneの設定、Password/Any IDPを選択し、Create Ruleをクリック

• 適用したルールの優先度を一番上へ変更

※ルールは高い優先度(小さい数字)から順に実施となり、優先度の変更は部分をドラック&ドロップして行う

• 指定IPアドレスからのアクセスはパスワード認証、それ以外からのアクセスはパスワード+MFA認証に設定完了