こんにちは!たつみんです!
みなさんはOktaのリリースノートって読んでますか?
2024.01のリリースノートを読んでいたらEarly Access(早期アクセス)として以下の記述がありました。
Okta Verify user verification with PIN or passcode
The Okta Verify enrollment relies on biometric verification, which presents challenges for users whose devices don’t support biometrics. To address this limitation, Okta Verify now supports user verification with PIN or password in addition to biometrics. This enhancement broadens accessibility, enabling all users to authenticate with Okta Verify and Okta FastPass, regardless of their device capabilities or personal constraints. See Configure Okta Verify options.
ざっくりと要約すると、生体情報だけでなく知識情報をOkta Verifyアプリで利用できるようになりました。Okta VerifyアプリでこれまでのFace ID,Touch ID,Windows Hello等の生体情報との連携に加えて、そのデバイスのパスワードやPIN等の知識情報を利用できるようになります。これによりFastPassを行う時に生体情報に対応できない場合でも対応が可能となりました。
実際の挙動
まずはこのEarly Access(早期アクセス)を有効にするとどのようなことが実現できるかを見てみましょう。以下の例ではあえてTouch IDでは登録していない指を置き、Face IDではカメラを覆うことで生体情報が利用できない状況を再現しました。
Macbookの場合
このようにMacbookでTouch IDが利用できない状態か通らない場合にそのデバイスのパスワードを入力することで認証を行うことができます。
iPhoneの場合
Face IDの代わりにiPhoneのパスコードを入力することで認証を行なっています。
Macbookの場合もiPhoneの場合どちらも認証時に所持情報と知識情報の2要素を同時に満たすことつまりMFAを実現しています。
設定方法
Okta管理者が行うEarly Access(早期アクセス)機能の有効化と関連設定
Okta管理画面のSetting>FeaturesからOkta Verify user verification with passcodeを有効化します。
次にAuthenticatorのSetupからOkta Verifyの設定を確認し、User VerificationがPreferredかRequiredのどちらかを選択します。Required with biometrics onlyの場合はPasscodeの利用はできません。
既存ユーザーが行うOkta Verifyアプリの対応
Okta Verifyをセットアップ済みのユーザーは以下の操作を実施する必要があります。
- Okta Verifyでアカウント部分をクリックします。
- パスワードによる確認のEnableをクリックします。
以下の表記がない場合はOkta Verifyが最新バージョンかどうか確認してみてください。また、Okta Verifyアプリを一度終了し再度起動してみてください。 - ブラウザ上で認証を求められるので実施します。
- Okta Verify上で以下のようにTouch IDまたはパスワードによる確認に表記が変わっていることを確認します。
以上で作業は完了です。iPhoneでも同様の流れで実施できます。
なお、Okta管理者が行う作業が完了後にユーザーが新規でOkta Verifyアプリをセットアップする場合はFace ID,Touch ID,Windows Helloとの連携時にパスワードやPINの連携も自動的に行われるため個別で作業を実施する必要はありません。
まとめ
このEarly Access(早期アクセス)機能によって生体情報が利用できない場合でも対応ができるようになりました。個人的には普段Macbookを閉じてクラムシェルモードで利用しているので、FastPassを実施時に一時的にMacbookを開いてTouch IDにアクセスするかOkta Verifyを所持情報としてのみ利用し別途Oktaパスワードを入力していました。それに比べるとFastPassとして一貫した操作となるのでずいぶんと楽になったと感じます。
それではまた別の記事でお会いしましょう👋