こんにちは!たつみんです。
お客様のOkta導入をご支援をさせていただく際によくOkta VerifyとFastPassの関係性についてご質問をいただきます。混同しやすくややこしい点は否めないのでこの機会にまとめてみようと思います。
3行まとめ
- Okta VerifyはMFAを実現するためのアプリ
- FastPassはOkta Verifyを使って実現するパスワードレスの仕組み
- Device Trustなどを行うにはFastPassの利用が必須つまりOkta Verifyの登録も必須となる
Okta Verifyとは?
Okta社が提供しているMFAのためのアプリです。
iOS(iPadOS),Androidを対象としたモバイル版Okta VerifyとWindows,macOSを対象としたデスクトップ版Okta Verifyがあります。
Okta Verifyでできること
モバイル版のみ
- TOTP方式での認証
- Push通知での認証やパスワードリカバリ時の認証
- Push通知+ナンバーチャレンジ方式での認証
- Jamf Connect利用時の認証
共通
- FastPass(パスワードレス認証)
- Face ID,Touch ID,Windows Helloとの連携
- 端末の状態をOktaに伝える役割
- Device TrustやDevice Assurance,EDR連携の要
Okta Verifyが対応している認証要素について
Okta Verifyはベースとして認証の3要素のうち所持情報を満たすことができますが、Face ID,Touch ID,Windows Helloと連携をさせることで所持情報の確認の際に生体情報も求める挙動となり同時に2要素を満たすことができます。以下では具体的に2要素を同時に満たす際の挙動と意外な落とし穴となる同時に2要素を満たさない挙動について具体例を紹介します。
同時に2要素を満たす挙動の例
- Oktaで認証時にPush通知を選択する
- iPhoneのOkta VerifyアプリでPush通知に応答する
- Push通知に応答する際に、Face IDが求められる
- 2.と3.により所持情報と生体情報の2要素を満たすことができる
同時に2要素を満たさない挙動の例
- Oktaで認証時にPush通知を選択する
- iPhoneとペアリングしたApple WatchでPush通知に応答する
- 2.ではFace IDは求められないため、結果として所持情報のみを満たした状態となる
このようにユーザーが行う操作のわずかな差ですが満たすことができる認証要素に差が発生します。
FastPassとは?
Okta Verifyアプリを利用したパスワードレス認証の仕組みや動作を示します。
まずは以下の動画をご確認ください。
FastPassはあらかじめ認証を行おうとしている端末上でOkta Verifyアプリをインストールし、アカウントを紐付けておく必要があります。利用する端末が複数ある場合はそれぞれにOkta Verifyアプリのセットアップが必要となります。
また、ユーザーがFastPassを利用できるようにOkta管理者が事前に実施しておくべきことについては以下をご参照ください。
FastPassはOktaのログイン画面で専用ボタンから呼び出すことができアカウントも事前に紐づいているため、アカウント名を入力する必要すらありません。前述のようにFace ID,Touch ID,Windows Helloと連携をしておけば、それらに応答するだけで同時に2つの認証要素を満たすことができます。
このようにユーザーがログイン操作時にフラストレーションを感じやすい部分を大きく改善しながら、2要素での認証つまりMFAも行うというよりセキュアな体験を提供をできるのがFastPassの大きな特徴といえます。
また、Device TrustやDevice Assurance,EDR連携を行う場合には以下の条件が必要となることからわかるようにOkta VerifyアプリやFastPassの仕組みが重要な役割を担っています。
- Okta Verifyがインストールされておりアカウントが紐づいていること
- 認証を行う際にFastPassを利用すること
イメージとしてはOkta Verifyアプリが端末の状態を確認し、FastPassを行うことで端末の状態をOktaに伝えると考えてもらえればと思います。
つまり、Device TrustやDevice Assurance,EDR連携においてFastPassは必須であり、FastPassの利用のためにはOkta Verifyのセットアップも必須であるといことです。
Okta VerifyとFastPassは同じもの?違うもの?
ここまで内容を読み進めていただければOkta VerifyとFastPassは関連性が高いものの全く同じものを指していないことにお気づきかと思います。Okta Verifyは認証を行うために存在するさまざまな機能を持つアプリのことであり、FastPassはOkta Verifyが持つ複数の機能の中のひとつであると言えます。
Okta Verifyアプリの登録やFastPassの利用を強制できるのか?
これはよくお客様からもご質問いただくのですがOkta管理画面でOkta Verifyの登録を強制することができますが、FastPassの使用を強制することは直接的にはできません。また、Okta Verifyの登録を強制する際もユーザーが利用するすべての端末上で登録を強制することはできません。特にユーザーアカウントの初期セットアップ段階ではモバイル版Okta Verifyアプリの登録を促されるのみでデスクトップ版Okta Verifyアプリの登録は促されません。
そのためWindows端末やMac端末でFastPassを利用する場合はユーザーが主体的にデスクトップ版Okta Verifyアプリのセットアップを行う必要があります。
しかし、次にご紹介する内容であれば間接的にではありますが認証を行おうとしている端末上でのOkta Verifyアプリのセットアップを含むFastPassの使用を半ば強制することができます。
認証ポリシー内のルールに条件としてDevice TrustやDevice Assurance,EDR連携を有効にしていると、まずはルールに合致するかどうかを条件判定する必要があります。この時に条件判定を行う仕組みはOkta Verifyアプリが端末の状態を確認し、FastPassを行うことでOktaに伝えるイメージなので、FastPassを行わない限りそもそもルールの条件に合致しているかどうかがわからず先に進まなくなります。
この時に実際に表示される画面は以下のようになります。
FastPassでサインインするをクリックした時に、その端末内でOkta Verifyアプリのセットアップが未設定の場合はアプリインストールを含むセットアップを促されます。
ただし、FastPassについてなにも情報を持っていないユーザーがこの画面に遭遇することはユーザーに与える印象としてあまりよくありません。Device TrustやDevice Assurance,EDR連携を行う際には事前にFastPassの有用性をアピールし、普段のログインの際に利用してもらえるように推進しておくとよいでしょう。
最後に
Okta VerifyやFastPassについて改めておさらいしてみました。Okta VerifyはOkta Identity Engineからはデスクトップ版も登場し多機能になったことで少し混乱しやすい状態になっていると思います。
個人的にはOkta VerifyやFastPassという仕組みは非常に便利でOktaの利用を行う上では事実上必須と言っても過言ではないと思っています。
欲をいえばスムーズなデスクトップ版Okta Verifyアプリの登録への誘導とFastPassの利用をより促すような仕組みがあればもっとよいのになと思います。
それではまた別の記事で!
2024.01.26追記
Early Access(早期アクセス)としてOkta VerifyでデバイスのPIN等が利用できるようになりました。
詳細は以下の記事をご参照ください。
