Oktaのパスワードレス機能

Oktaではもともと、パスワードを使用せずにログインするという意味でのパスワードレスが実現されていましたが、設定上の問題でユーザは必ずパスワードを持たないといけませんでした。

今回記載するOktaのパスワードレス機能では、Oktaにログインする際にパスワードを使わずに認証するのみでなく、そもそもユーザがパスワードを持たない状態にすることができます。

この機能によって、下記3つが可能となります。

• 管理者がパスワードを持たないユーザを作成する
• ユーザのセルフサービス登録時にパスワードを作成せずにアカウントを作成する
• すでにパスワードを持っているユーザについて、あとからパスワードを除去する

そもそも、なぜパスワードレスを採用するのか

セキュリティインシデントの多くはパスワード漏洩が原因となっています。
そのため、パスワード認証以外の認証手段でクラウドサービスにログインする、という取り組みが近年推進されています。

また、パスワードレスを採用していない場合、アカウント登録時にユーザがパスワードを作成しないといけないため、ユーザエクスペリエンスの低下とアカウント登録時の離脱につながります。
業務時に使用するクラウドサービスが増えるにつれて、ユーザが保管するパスワードの数は、ますます増えます。各クラウドサービスのパスワードポリシーに沿ってそれぞれのパスワードを作成することはユーザの大きな負担となっています。

パスワード作成はユーザが行う作業のため、パスワード管理を高いレベルに維持することは難しく、ユーザが単純なパスワードを作成することや、パスワードを紙などにメモすることでインシデントにつながることもあります。

さらに、パスワードを持つことでパスワードリセット業務が発生し、企業のIT部門の大きな負担となることがあります。

このように様々な理由によってパスワードレスが採用されるようになっています。

パスワードレスを採用した際のユーザエクスペリエンス

今回は、管理者がユーザを作成する場合と、ユーザが自分自身でアカウント登録を行う場合について、それぞれのユーザエクスペリエンスをご紹介します。

管理者がユーザ作成する場合

通常では、ユーザが初回ログインする際にはアクティベーションリンクを使用するか、またはパスワード認証を行います。
パスワードレス機能を使用した場合、ユーザの初回ログインはアクティベーションリンクを使用せず、メール認証を行います。

ユーザの画面は下図の流れになります。

• アクティベーションリンクがないため、ブラウザから直接URLにアクセス
• 管理者が登録したメールアドレスでメール認証を行う
• 初回ログインが完了

ユーザがアカウント登録を行う場合

パスワードレスを採用した場合、メール認証のみで簡単にアカウント登録ができます。

ユーザの画面は下図の流れになります。

• URLにアクセスして「サインアップ」をクリックし、アカウント登録ページに入る
• メールアドレスを入力する
• メール認証を行う
• 多要素認証（ＭＦＡ）を登録
  多要素認証の登録を任意とする設定であれば、「あとで設定」を選択ＯＫ
• 初回ログインが完了

パスワードレス機能の注意点

パスワードを除去できるのは、Okta-sourcedユーザ限定となっております。
そのため、ADマスタのユーザやLDAPマスタのユーザはパスワードを除外することができません。

パスワードを持たないユーザがいた際に、一部のアプリケーションでパスワード認証が必要なサインオンポリシーを設定していた場合、ユーザがログインできなくなってしまいます。
そのため、ユーザが使うアプリケーションすべてに対して、パスワードなしで認証できるようなサインオンポリシーを設定する必要があります。

例えば、アプリケーションのサインオンポリシーでパスワード認証を必須にした場合、下図のようにアプリケーションへのアクセス時にエラーが発生します。

そのため、アプリケーションのサインオンポリシーで、下図のように”User must authenticate”の設定で”Any 1 factor type / IdP”または” Any 2 factor types”を選択する必要があります。

まとめ

パスワードを持たないOktaユーザが作成できるようになったことにより、パスワードに関する様々な問題が解消されることが期待できます。
特定のグループに対してパスワードレスの設定を行うこともできるため、パスワードが必要なユーザはそのままで、パスワードを除去したいユーザのみパスワードレスにすることも可能ですので、様々なケースで適切な使い分けができます。

Oktaのパスワードレス機能に対して興味をお持ちになった方は、ぜひマクニカまでお問い合わせください。