はじめに
ごきげんよう、IDチームのわかなです!
今回は「Okta Verifyでログインできない!」という、よくあるお問い合わせについて、原因の切り分けポイントや具体的な対処法を分かりやすくまとめてみました。
お問い合わせ内容
Okta VerifyにPush通知が届かない!
Okta Verifyにアカウント登録しようとしたらエラーになった!
Okta VerifyとFastPassの基礎のおさらい
Okta Verifyは、Okta社が提供する多要素認証(MFA)アプリです。
スマホ(iOS/Android)とPC(Windows/macOS)で利用でき、Oktaの認証をより安全&便利にしてくれます。
FastPassは、このOkta Verifyを活用したパスワードレス認証の仕組みです。
特にDevice Trustを有効にしている場合はFastPassが必須なので、導入予定の方は要チェックです。
端末ごとにOkta Verifyのセットアップが必要ですので、パソコンとスマホ両方で使いたい場合、それぞれで登録しましょう。
Okta VerifyやFastPassの仕組みや導入の流れについて、もっと詳しく知りたい方は、こちらの記事も参考にしてみてください。
代表的なトラブルと切り分けフロー
Okta VerifyやFastPassで「ログインできない!」「認証に失敗する、、」そんな時は、次の4つの観点で順番に切り分けていくのがオススメです。
- 端末の状態
- アプリの状態
- ネットワーク
- Okta側の設定
ここでは、よくあるトラブル事例と、それぞれの切り分けポイント・対処法をまとめてみました。
| 事象例 | 切り分けポイント | 代表的な対処 |
|---|---|---|
| Push通知が届かないがOTPなら認証できる | 通知設定/ネットワーク/時刻同期 | 端末の通知ON、時刻自動設定、アプリ再起動 |
| OTP認証もできない | アプリ未登録/アカウント無効/端末未対応 | Okta Verify再登録、端末要件確認 |
| Okta Verifyが登録できない | ネットワーク/認証URL/端末状態 | インターネット接続確認、正しいURL入力、端末診断 |
| 「検証がタイムアウトしました」等エラー | ネットワーク/端末要件/認証ポリシー | ネットワーク安定化、端末健康状態の確認 |
端末・アプリ側の切り分けポイント
- 時刻同期ずれ:端末の時刻が自動設定になっているか確認。時刻がズレていると認証に失敗します。
- アプリ/OSバージョン:Okta VerifyとOSが最新か確認。サポート外のバージョンを利用している場合はアップデートする必要があります。
- デバイス健康状態:Okta Verifyの「Device Health」または「デバイスの正常性」ページで要件未達がないか確認。
- ネットワーク:VPNやプロキシ、SASEなどのセキュリティソフト(Netskope、Cato等)が通信を妨げていないか確認。
Okta側・管理ポリシーの切り分けポイント
- 認証ポリシーの確認:Device Trustが有効な場合、FastPass必須になります。どのルールに該当しているか管理コンソールで確認。
- ユーザーのリスクレベル:Okta側でユーザーがHigh Risk扱いになっていると認証がブロックされる場合があります。
- デバイス登録状態:MDM(Jamf/Kandji/Intune等)で管理対象外になっていないか、デバイス認証が済んでいるか確認。
- Okta Verifyアカウントの有効性:アカウントが「無効」扱いの場合は再登録が必要です。
具体的な事例別の対処方法
端末の「Device Health(デバイスの正常性)」をチェックしよう
Okta Verifyの「Device Health」機能で、OSや生体認証、ディスク暗号化などの状態を一目で確認できます。
認証ポリシーの確認は「System Log」から
認証ポリシーの問題でブロックされている場合、Oktaの「System Log」を活用すると原因特定がスムーズです。
- Okta管理コンソールから「System Log」にアクセス。
- ユーザーの認証失敗イベントを検索し、どの認証ポリシーや要件で弾かれているかを確認します。
Systemlogの検索クエリや見方については、こちらの記事も参考にしてみてください。
PC側のログも重要!クライアントサイドの状況を確認しよう
Okta System Logは、認証サーバー側で「何が起きたか」を記録する、トラブルシューティングの基本です。しかし、ユーザーのPCとOktaサーバーとの間で問題が発生している場合、System Logだけでは原因が分からないことがあります。
例えば、 「ユーザーのPCからOktaへの通信が、ネットワークの問題で届いていなかった」 「PCにインストールされたOkta Verifyアプリ自体が正しく動作していなかった」 といったケースです。
このようなクライアントサイド(PC側)の問題を切り分けるために、Okta Verify for Desktopのログが非常に重要になります。ここからは、Oktaの公式サポートドキュメントを参考に、WindowsとmacOSそれぞれのログ取得手順を解説します。
【Windows編】Okta Verify ログの取得手順
ステップA:デバッグログを有効化する
- レジストリエディター(
regedit)を開きます。 HKEY_CURRENT_USER\Software\Okta\Okta Verifyに移動します。LogLevelをDebugに変更します。- Okta Verify を再起動します。
ステップB:イベントビューアーからログをエクスポートする
- デバッグログを有効にした状態で、ユーザーに事象(サインインなど)を再試行してもらいます。
- イベントビューアーを開き、「アプリケーションとサービス ログ」>「Okta」に移動します。
- 「すべてのイベントを名前を付けて保存」を選択し、
.txtまたは.csv形式でファイルを保存します。
これで、詳細なクライアントログの取得は完了です。調査が終わったら、LogLevel を元の値に戻すのを忘れないようにしましょう。
【macOS編】Okta Verify ログの取得手順
ログファイルを手動で収集する
macOSのログは、特定のフォルダに直接アクセスして収集できます。
- Finderを開き、メニューバーの「移動」>「フォルダへ移動」を選択します。
- 以下のパスを入力して「移動」をクリックします。
~/Library/Group Containers/B7F62B65BN.group.okta.macverify.shared/Logs
ログイン画面にすら到達しない場合は「SAMLトレーサー」がおすすめ
「そもそもログイン画面まで進まない」「SAML認証のどこで詰まっているか分からない」そんな時は、Chrome拡張の「SAML-tracer」が便利です。
- 拡張機能を起動し、該当サービスへのログイン操作を実施。
- SAMLの通信内容(AssertionやNameIDなど)をリアルタイムで確認できます。
- サービス側やOkta側の設定ミス・属性値の不一致もここで特定しやすいです。
ネットワークやSASE製品の影響もチェック
NetskopeやCato NetworksなどのSASEソリューション利用時など、VPNやプロキシの設定ミスやセキュリティ機能の干渉で認証が失敗するケースが多いです。
一時的に無効化して問題の切り分けを行うのも有効です。
また、Cato SASE環境では、Windowsの組み込みブラウザ(Embedded Browser)を使ったOkta FastPassや生体認証SSOで認証が失敗する事例が報告されています。
Windowsで組み込みブラウザ使用時にOKTAバイオメトリックSSOが失敗する
パケットキャプチャでさらに詳しく調査
ネットワークの問題が疑われる場合は、Wiresharkなどのパケットキャプチャツールを使うと通信の流れやブロック箇所をより詳細に追うことができます。
まとめ
Okta VerifyやFastPassでトラブルが発生したときは、「PINや生体認証の再セットアップ」が“困ったときの総合リセット”としてとても有効です。
それでも「ひととおり確認したのに、やっぱりログインできない!」という場合は、無理せずお気軽にお問い合わせください。
