コンテンツまでスキップ

OktaのMFAにWindows Hello/Touch IDを追加してみた

Oktaで使用可能なMultifactorのうち、FIDO2 (WebAuthn)の活用を推進しています。

前置き


本記事は、タイトルがすべてです。詳細について知りたい方は、下記のOkta社の資料をご参照ください。

WebAuthnの仕組み

 

はじめに


ネクストモードにJoinしたその日から、与えられた権限の下でSaaSの利便性を身体で浴びて感じながら、運用時のセキュリティにも配慮しつつ、MODE2な機能検証を毎日繰り返している今日このごろです。

さて、Oktaは、IDaaS市場において既に一定の地位を築いている製品ですが、今回はこのOktaの利便性向上をテーマに挙げてお伝えしたいと思います。

基本的な機能説明は弊社マーケティング事業部の分かりやすい対面プレゼンにお任せしたいので、ここで詳細はご説明いたしませんが、組織にOktaがあるのとないとでは、情シスの負荷において天と地の差があります。

今回ブログを書いたのは、Oktaの追加認証にバイオメトリクス認証を選択できることに、Oktaを触っていながらぜんぜん気づいてなかったという個人的なツッコミと、利用者側のメリットを謳いたく、投稿しております。

 

経緯など


OktaのMultifactorは多岐に渡ります。細かい話はナシで設定欄だけ起こすと下記のとおりです。

  • Okta Verify
  • SMS authentication
  • Voice Call authentication
  • Google Authenticator
  • FIDO2(WebAuthn)
  • Yubikey
  • Duo Security
  • Symantec VIP
  • On-Prem MFA
  • RSA SecurID
  • Security Question
  • Email Authentication
  • TOTP

当初運用では、主にGoogle Authenticatorを標準採用しておりました。メジャーだから浸透しやすかったのだと思われます。別途サードパーティ製品からトークンを呼び出すなど、利用方法は各々任せではありますが、MFAを利用していることに変わりはありません。しかしもっとスタイリッシュで低コストなMFAを会社支給品で統一したいなーと、しばし内部検討しておりました。

ここで一旦脳内に話しかけていただいて、情シス的に最強の多要素認証の条件について、考えてみましょう。

私の意見はこうなりました。

  • 物理的に分かれている - 盗難にあってもセットで盗難されない
  • 導入コストが安い - 全従業員に配布するため、少額でも結構かかる&入退場でデバイスやサブスクの増減管理が大変だからタダだとありがたい
  • 信頼のおける企業が提供している - 言わずもがな

※個人のイメージです

上記をすべて満たす個人的最強MFAは、ちょっと前までは「Okta Verify」であると判別しており、社内で布教しておりました。

  • 物理的に分かれている(個人スマホ)
  • 導入コストが安い(タダ)
  • 信頼のおける企業が提供している(Okta社そのもの)

以上です。ありがとうございました。

 

続き


ここで話が終わっていればブログを書いていないのです。

先日チーム内より、Okta関連のネタが回ってきたので拝読しておりました。

「ゼロトラスト」の次はこれ、マイクロソフトが注力する2つのセキュリティー技術 - by 日経クロステック

記事の中でOktaが既にパスワードレスを実装済みと記載している部分に引っかかりました。

Okta VerifyやYubikeyの実装は既に試していたのですが、利便性や本人確認の面であと一歩欲しいなーと思っていたので、なーんとなく、導かれるように、設定画面を一から見直していくことにしました。

下記はOktaのMultifactor設定画面(サンドボックス環境)です。

上から順番に読み直し。

スクリーンショット 2023-02-17 13.56.01

そして、下記に差し掛かりました。

Nextmode-OIE-Sandbox2_-_Authenticators_-_https___nextmode-cooie-admin_okta_com_admin_access_multifactor

Windows HelloがFIDO2認定を取得していることを後で知って線が繋がりました!

完全に理解しました。

これなら本人認証も満たせて、MFAデバイスを別途全員分購入する必要もありません!(Windows Hello搭載デバイス有無なんていう細かい話は後回し)

まずは設定です!

 

手順(管理者)


手順は下記となります。

※本設定にはMFAライセンスが必要になります。

Okta管理画面にログイン後、Security → Authenticatorsへ遷移します。

スクリーンショット 2023-02-17 13.58.31

Add authenticatorからFIDO2 (WebAuthn)を追加し、一覧に登場させます。

fido2

同じ画面隣のEnrollmentタブから任意ポリシーEditを選択し、FIDO2(WebAtuthn)を選択肢に加えます。

using-webauthn-with-okta-mfa-005

以上で、Windows Hello/Touch IDを、OktaのMFAに利用できるようになりました。

 

手順(利用者)


利用登録は、個人のログイン後ページから、設定画面へ遷移して、

using-webauthn-with-okta-mfa-006

右上にあるプロファイルの編集をクリックします。

追加認証のところにセキュリティキーまたは生体認証システムが増えているので、設定ボタンから登録を行ってください!

using-webauthn-with-okta-mfa-007

using-webauthn-with-okta-mfa-008using-webauthn-with-okta-mfa-009

以上で、お手持ちのPCからバイオメトリクス認証がOktaで利用できるようになります!

using-webauthn-with-okta-mfa-010

(せっかく譲り受けたYubikeyが早速肥やしになってしまって申し訳ございません!)

 

補足


※OS,ブラウザの相性にご注意ください。Chromeブラウザで動作確認をしましたが、ChromiumブラウザではTouch IDが使えませんでした。FIDO2に対応しているブラウザでもOkta側が対応していない場合もあるため、導入時は動作確認を踏まえてください。

https://help.okta.com/en/prod/Content/Topics/Security/mfa-webauthn.htm?cshid=csh_FIDO2_WebAuthn

また完全なる余談ですが、弊社課題管理でよく使われるBacklogもnulabアカウントからパスワードレス認証が使えます。こちらは単要素なので顔パスならぬ指パスになります。

生体認証の設定

 

さいごに 


というわけで、一部関係者の皆様は、本日よりOktaのWindows Hello/Touch ID利用が組織内でGAとなります。

便利でセキュアで登録もカンタンですので皆様ぜひご活用ください!

よろしくお願いたします。

 

 

次回、本当のパスワードレスへ…Okta Devices導入