Oktaアプリケーションの利用時にOkta Verifyを強制する
以前のブログでOktaダッシュボードから、AWSコンソールにフェデレーションする方法をご紹介してきました。Oktaに1度ログインすると、AWSコンソールなど重要なアプリケーションを利用できます。AWSのルートユーザーやIAMユーザーにはMFAを適用することが推奨されています。Oktaではどのように実現できるかを試してみました。
Multifactor Policyの設定
Okta管理コンソールでの設定について説明します。Multifactor Policyを設定することで、ユーザーに最低限のAuthenticatorを求めることができます。初期設定ではOkta Verifyと電話(SMS/Voice Authentication)認証がオプショナルで利用できます。Okta管理コンソール>Security>Authenticators>EnrollmentでMultifactor Policyを確認できます。
ユーザーはMultifactor Policyで指定されたセキュリティ方式を利用できます。初期設定では、ユーザーの設定画面にはOkta Verifyと電話認証の設定が表示されます。Okta Verifyと電話認証は必須ではなく、オプションという状況です。
Multifactor Policyは、Oktaの特定のグループにだけ指定もできます。今回はすべてのグループに適用されるDefault Policyを変更し、Okta VerifyをOptinalからRequiredにしました。
Okta Verify以外にも、Duo Security、Google Authenticator、IdP Authenticator、On-Prem MFA、RSA SecurID、Security Question、YubiKeyを利用できます。これらは管理者がAddすることで利用できるようになります。
ユーザー視点でのOkta Verifyを利用方法
Okta Verifyを手元のiPhoneにインストールします。androidでも提供されています。アプリを起動し「会社名」を指定します。
QRコードのスキャンにすすみます。
Oktaのダッシュボードの右上のアイコンから、設定を選びます。
セキュリティ方式にOkta Verifyを指定します。
QRコードが表示されるので、Okta Verifyアプリでスキャンします。
アプリケーションを選択します。例としてAWS SSOを開きます。
Okta Verifyアプリに表示されたコードを入力するか、アプリにプッシュ通知を送信するかを選べます。コードは6桁の数字です。コードの取得にはiPhoneの指紋認証が必要でした。
プッシュ通知を送信すると、サインインしようとしたかの確認がアプリに表示されます。「はい、私です」を選び、iPhoneの指紋認証が通るとアプリを利用できます。AWS SSOアプリの場合、AWS SSOの画面が表示されます。プッシュ通知による認証は非常に使い勝手がいい印象を持ちました。
当然ですが、Okta Verifyでの認証ができなければアプリは利用できません。
さいごに
Oktaのアプリケーションの利用時にOkta Verifyを強制する方法を紹介しました。AWSコンソールなど重要なアプリケーションをOktaで利用する場合は設定すると良いかと思います。Okta Verifyアプリは洗練されている印象を持ちました。