こんにちは!たつみんです。
今日はタイトル通りなのですがOkta Verifyに便利そうな機能が追加されていたのでそのご紹介です。
はじめに
普段利用しているOkta Verifyアプリを何気なく確認していたらいつの間にか新規デバイスにアカウントを追加するという項目が表示されていることに気づきました。
Okta Verifyのリリースノートを確認すると最新版のOkta Verifyアプリにて以下の機能が利用できるようになったようです。
Phishing-resistant account sync across devices
As of July 5, 2023, this feature is available in the latest app version.
Okta FastPass users who want to authenticate with the same account on another device can now sync their devices with Bluetooth in a phishing-resistant way. By doing so, they can add the existing Okta Verify account directly to the other device without signing in to the End-User Dashboard. With this feature, users who lost their phone can recover their Okta Verify account by syncing a new device with an active enrollment. See iOS documentation for end users.
https://help.okta.com/oie/en-us/Content/Topics/ReleaseNotes/oie-ov-release-notes.htm#panel2
ざっくり要約すると、新しい端末でOkta Verifyをセットアップする時にセットアップ済みの端末と新しい端末の間でBluetooth接続を確立すればウェブブラウザでのサインインを行わなくても新しい端末上のOkta Veirfyをセットアップできるよ。それはフィッシング耐性のある方法だよ。携帯電話を紛失した時でも安心だよ。ということのようです。
フィッシング耐性があるとは?
これはセットアップを行う端末とすでにセットアップ済みの端末をBluetooth接続を行うことで近傍性を確保することでフィッシング耐性を持つという意味合いかと思います。
この考えはPasskeyでもデバイス間でやりとりを行う際に同じ考え方が採用されています。
携帯電話を紛失した時でも安心とは?
これはちょっと自分の想像も含まれますが以下のような状況でも対応できるという事を指しているのかと思いました。
これまでは新しい端末でOkta Verifyをセットアップする際にセットアップ済みのモバイル版Okta VerifyアプリへのPush通知を利用することでセットアップが可能でしたが、新しく登場した機能を使えばモバイル版Okta Verifyアプリを使わなくてもセットアップを完結できるのでもし、携帯電話を紛失した状態でも問題ないというこです。
特にデスクトップ版Okta Verify同士で設定を完結できるというのが1番のポイントだと思います。
検証してみた
今回はデスクトップ版Okta Verify同士とモバイル版Okta Verifyとデスクトップ版Okta Verifyのパターンで検証してみました。
デスクトップ版Okta Verify同士の場合
- 既存端末側で利用するアカウントを選択し、新規デバイスにアカウントを追加するをクリックします。
- 以下のようにQRコードが表示されます。
- 新端末側でOkta Verifyアプリを導入し立ち上げ、別のデバイスからアカウントを追加するをクリックします。
- 以下のようにコード入力画面が表示されますので、2.で表示されているQRコード下のコードを入力します。
- 以下のようにPINが表示されます。
- 既存端末側に戻り5.で表示されたPINを入力します。
- 既存端末側では以下のような表示となるため、了解をクリックします。
- 新端末側では以下のようにTouch IDの紐付けが求める画面が表示されるため次へをクリックします。
- Touch IDを有効化をクリックし、あとは画面の指示に従いセットアップを完了させます。
以上で作業は完了です。
モバイル版Okta Verifyとデスクトップ版Okta Verifyの場合
以下のシナリオでは新端末側がモバイル版Okta Verify、既存端末側がデスクトップ版Okta Verifyです。
- 既存端末側で利用するアカウントを選択し、新規デバイスにアカウントを追加するをクリックします。
- 以下のようにQRコードが表示されます。
- 新端末側でOkta Verifyアプリを導入し立ち上げ、アカウントの追加から別のデバイスからアカウントを追加するをタップします。
- QRコードをスキャンするをタップします。
- 2.で表示されている既存端末側のQRコードを読み取ります。
- 以下のようにPINが表示されます。
- 既存端末側に戻り7.で表示されたPINを入力します。
- 既存端末側では以下のような表示となるため、了解をクリックします。
- 新端末側では以下のようにFace IDの紐付けが求める画面が表示されるため有効にするをタップします。
- Face IDの登録が完了すると以下のような画面となります。完了をタップします。
以上で作業は完了です。
記事執筆時でiPhoneのOkta Verifyから『別のデバイスにアカウントを追加する』をタップすると応答がない場合があります。これはiPhoneの言語設定が日本語の時に起きるようで、英語の場合であれば発生しませんでした。
いずれ修正されるとは思いますがこの事象に遭遇した場合は一時的に言語設定を英語に変更し対応しましょう。
なお、iPadのOkta Verifyの場合は言語設定が日本語であっても問題なく動作しました。
まとめ
QRコードの読み取りもしくはコード入力によりBluetooth接続を確立し、そのあとPINによってアカウント情報を同期というよりは複製するようなイメージでした。2台の端末を行き来するため若干煩雑に思えますが画面上の案内も丁寧なので迷うことなくOkta Verifyアプリのセットアップが可能でした。
冒頭でも触れましたがBluetooth接続による近傍性の確保やブラウザを介さずに登録を行える点がフィッシング耐性があり、セキュアであるという点もよい部分だと思います。
モバイル版Okta Verifyを展開できない場合に以下のブログで記載した課題のひとつである2台目の端末セットアップをユーザー自身で行えないという点は解消できます。
新しいセットアップ方法ですので覚えておくとどこかの場面で活用できるかと思います。
それではまた別の記事でお会いしましょう?
