SaaS

Okta FastPassを検証してみた

こんにちは! SaaS検証チームのたつみんです。

Okta Identity Engine(以下OIE)で利用可能になったOkta FastPassを検証しましたのでご紹介いたします。

注意

2021年11月18日現在、OIEは新規発行されるテナントに限り適用されます。これまでのOkta Classic EngineからOIEへ移行する時期や方法については別途Okta社からのアナウンスをお待ちください。

それでは早速設定方法についてみてみましょう。

設定方法

Okta Verify設定

  1. Okta管理画面のSecurity>AuthenticatorsからOkta VerifyをActionsからEditをクリックします。
  2. Verification optionsでOkta FastPassにチェックを入れます。
  3. Okta FastPassの項目でShow the “Sign in with Okta FastPass” buttonにチェックを入れ、Saveをクリックします。

アプリケーション毎のサインオンポリシー

  1. Okta管理画面からまずは任意のアプリケーションを選択します。
  2. Sign Onタブの下にあるSign On PolicyからAdd Ruleをクリックします。
  3. Device state isをRegisteredにし、User must authenticate withをAny 2 factor typesとし、Saveをクリックします。
  4. 次にデフォルト設定のCatch-all Ruleについて以下のようにAccess拒否の設定に変更します。
  5. 最終的に以下のようなサインオンポリシーとなっているかを確認します。

サインオンポリシーは上から判定されルールに該当しない場合に次のルールに一致するかどうかを確認します。
FastPassに合致しない場合はCatch-all Ruleにてアクセスを拒否する設定としています。

Okta Sign-on Policy設定

  1. Okta管理画面のSecurity>Okta Sign-on PolicyからAdd Ruleをクリックします。
  2. Primary factor isの項目でPassword / IDP / any factor allowed by app sign on rulesにチェックを入れます。
  3. Create Ruleをクリックします。

この操作によりOkta全体のサインオンポリシーから各アプリケーション毎のサインオンポリシーへと認証基準が移ります。そのため各アプリケーションのサインオンポリシーを安全なポリシーを作成する必要があります。

ユーザー側設定

Okta Verify設定

  1. Oktaログイン時にOkta FastPassでサインインするをクリックします。
  2. デスクトップ用Okta Verifyアプリがインストールされていない場合はここにダウンロードからダウンロードすることができます。
  3. Okta Verifyを起動したらGet startedをクリックするとブラウザでのOktaでログインに遷移します。
  4. ブラウザでOktaログインをすることでOkta Verifyアプリとアカウントの紐付けが完了します。
    端末構成によってはTouch IDについて有効化を求められる場合があります。今回は有効化して進めました。

動作確認

  1. Oktaログイン画面でOkta FastPassでサインインするをクリックします。
  2. Okta Verifyアプリが起動し、Touch IDを求められるため認証をします。
  3. ログインが完了し、ダッシュボード画面が表示されます。

最後に

FastPassでは端末毎にOkta Verifyをインストールしアカウント紐付けを行うため複数の端末を利用する場合はそれぞれの端末でOkta Verifyの設定を行う必要があります。

また、アカウントと紐づいた端末の情報はOkta管理画面のDirectoryにDevicesという項目から確認ができます。ここでは端末のSuspendやDeactivateを行うことも可能です。

まとめ

Okta FastPassの設定はそれほど難しくないと感じます。ユーザーへのOkta Verifyアプリの配布はMDMを利用している場合はそちらから配布するほうがスマートでしょう。

初回のアカウントとの紐付けだけはユーザー側で行なっていただく必要がありますがその後のログイン操作のストレスがなくなることを考えれば小さなことだと思います。

今回の検証環境でのFastPassに慣れてしまい、業務利用しているOkta Classic Engine環境でのスマートフォンOkta Verifyアプリのプッシュ通知による認証がとても億劫になってしまいました。
利用すれば必ずその良さをすばらしいユーザー体験を実感すると思います。

それでは次回はもう一歩踏み込んでOkta Verifyを利用したデバイストラストについて記事にします。

たつみん

事業会社の情シスからクラウドネイティブにJoin!
好きなものはF1海外観戦とベルギービール!
集中力の質は深く長く遅い典型的なシングルタスクタイプです。