Okta FastPassでデスクトップ・モバイル端末の簡易アクセス制御をやってみた

Okta FastPassでデスクトップ・モバイル端末の簡易アクセス制御をやってみた

#Okta
新屋司

新屋司

facebook logohatena logotwitter logo
Clock Icon2025.07.07

Okta FassPassとは?

Okta FastPassは、Oktaが提供するフィッシング耐性のあるパスワードレス認証機能です。Okta Verifyアプリを端末にDLして、パスワード入力なしで安全にOktaで保護されたアプリにアクセスできるようになります。

https://help.okta.com/oie/ja-jp/content/topics/identity-engine/devices/fp/fp-main.htm

Okta VerifyとOkta Fastpassを混同しがちなのですが、Okta Verifyはアプリの名称、Okta FastpassはOkta Verifyを使ったパスワードレス認証機能を指します。

メリット

  • フィッシング耐性のある認証
    • 認証はデバイス内の証明書と正規ドメインの検証に基づいて行われるため、偽サイトなどドメインが一致しない環境では認証が成立しません。
    • 昨今、多要素認証を突破するリアルタイムフィッシングなどの攻撃が金融機関や大企業を対象に横行しており、このフィッシング耐性のある認証が注目されています。
  • パスワードレス認証
    • パスワードの代わりに、デバイス内の証明書や生体認証(Face ID/Touch IDなど)で安全にログインできます。
  • デバイスポスチャ評価
    • OSのバージョンやセキュリティ設定など、端末の状態をチェックしてアクセス可否を判断します。

https://www.okta.com/jp/blog/2022/11/a-deep-dive-into-okta-fastpass/

簡易アクセス制御とは?

特定のデスクトップ端末(Windows, Mac)または、モバイル端末(Android, iOS)からのアクセスのみ、Oktaで保護されたアプリの利用を許可することを指しています。端的に、アクセス制御です。

この記事のモチベーション

通常、端末のアクセス制御を行うには、Microsoft IntuneやJamf ProといったMDM製品との連携を検討することが一般的かと思います。ですが、これらのMDM製品を使わなくても、Okta Fastpassを使えば、特定端末からのアクセス制御を実現することができます。

MDM製品を使って端末管理するほどでは無いが、Oktaで端末制限は行いたい時にピッタリのソリューションです。あと、MDM製品を使わないのでその分の費用を抑えられるメリットもありそうです。

※最終的な費用は諸々の条件があるため、高い安いは一概には言えません。

構成イメージ

okta-fastpass-device-access_1

やってみた

1. Okta Verify(FastPass)を端末にセットアップ

https://help.okta.com/oie/ja-jp/content/topics/identity-engine/devices/fp/fp-faq.htm

okta-fastpass-device-access_2

(例)組織のサインインURL:

https://xxxxxxxxxxxx.okta.com/ ← Okta管理画面のURLを確認してください。

ブラウザでサインインして成功するとVerify(FastPass)の設定は完了です。

Admin Consoleに戻って、ディレクトリ > デバイス のデバイス一覧にVerify(FastPass)を登録した端末が表示されていることを確認します。

okta-fastpass-device-access_3

端末名をクリックしてURLにDeviceIDが表示されているのでコピーします。

okta-fastpass-device-access_4

2. ユーザープロファイルに許可端末情報を追加

Admin Consoleの ディレクトリ > Profile Editor からユーザーを選択します。

※特定のユーザーのみに限定することも可能

okta-fastpass-device-access_5

属性を追加

okta-fastpass-device-access_6

許可端末が1つならstringで問題ないですが、複数ならstring arrayを検討します。

以下は設定例

okta-fastpass-device-access_7

次に、Admin Consoleの ディレクトリ > ユーザー のユーザー一覧から許可端末を追加したいユーザーを選択します。

okta-fastpass-device-access_8

プロファイルタブの編集から、先ほどの許可端末の文字列を入力します。

okta-fastpass-device-access_9

3. 認証ポリシーで許可端末以外の認証を拒否する

Admin Console の セキュリティ > 認証ポリシー からポリシーを選択します。

ポリシーは、認証ルールを変更したいアプリと紐づいていることを確認します。

※今回、管理者以外のユーザーを対象に「特定端末からのみOktaの利用を許可する」を満たすため、例としてOkta Dashboardのポリシーを選択

okta-fastpass-device-access_10

カスタム式を使い、許可端末以外なら拒否のルールを追加

okta-fastpass-device-access_11

「特定の端末」であることを確認するFastPassを認証要素に必ず含めるようにキャッチオールルールにも変更が必要です。

所有要素の制約で「フィッシング耐性」「ハードウェア保護」を有効化し、認証要素にパスワードとOkta Verify - FastPassが表示されていることを確認します。

※ここは、要件に合わせて調整 例えばパスワードを使用しない、など

okta-fastpass-device-access_12

以上で設定完了です。

動作確認

ユーザー shinya.tsukasa@classmethod.jp は許可端末(デスクトップ)からOkta Dashboardにアクセスできるが、それ以外の端末(モバイル端末)からはアクセスできない
それ以外の端末(モバイル端末)からはアクセスできない

デスクトップ(Device ID = guorosh...) → OK!
okta-fastpass-device-access_14

モバイル → NG!
okta-fastpass-device-access_13

最後に

Okta Fastpassで端末の簡易アクセス制御を試してみました。管理する端末が少なかったり、手軽に実現したい時など便利だと思います。OktaのライセンスもSSOライセンスのみになるので、比較的安価です(2025年7月執筆時点)

ぜひお試しください!

Share this article

facebook logohatena logotwitter logo

関連記事

OktaのFIDO2(WebAuthn)を設定してシングルサインオンする際に生体認証でログインできるようにしてみた

OktaのFIDO2(WebAuthn)を設定してシングルサインオンする際に生体認証でログインできるようにしてみた

User avatar
新屋司
2025.02.13
[WIC] Okta Workforce Identity Cloud(WIC)の各機能と価格について

[WIC] Okta Workforce Identity Cloud(WIC)の各機能と価格について

User avatar
西川
2025.02.07
Okta WIC入門 〜ユーザー管理からグループ設定まで〜

Okta WIC入門 〜ユーザー管理からグループ設定まで〜

User avatar
きだぱん
2024.12.24
OktaからIAM Identity CenterにIDを自動でプロビジョニングしてみた - Workflows編

OktaからIAM Identity CenterにIDを自動でプロビジョニングしてみた - Workflows編

User avatar
新屋司
2024.12.21
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.