It is the top of the page

Link for moving within the page
To text (c)

このウェブサイトではサイトの利便性の向上のためにクッキーを利用します。サイトの閲覧を続行されるには、クッキーの使用にご同意いただきますようお願いします。
お客様のブラウザの設定によりクッキーの機能を無効にすることもできます。詳細はこちら

The main part starts here.

  1. ナレッジセンター
  2. 匠コラム

Oktaレシピ ②パスワードレス認証

匠コラム
クラウド
セキュリティ
認証

ビジネス開発本部 第1応用技術部
セキュリティチーム
渥美 淳一

はじめに

前回 は、IDaaS の「Okta」による統合 ID 管理についてご紹介しました。

乱立する複数の ID 管理システム(Active Directory など)を Okta に統合できることが分かりました。

統合 ID 管理の後、ユーザーは Okta にログインすれば、多くのアプリケーションに SSO できるようになります。

今回はその Okta へのログインを、パスワードを使わずに行う『パスワードレス認証』をご紹介します。

パスワードによるユーザーの本人確認(認証)は、安全でもなければ、便利とも言えません。

そこで、パスワードを使わずにアプリケーションを利用できる、安全かつ便利なパスワードレス認証を検証してみます。

パスワードレス認証の手法

Okta では「証明書認証」「FIDO2 認証」「デスクトップ SSO」などが利用できます。

「証明書認証」は、従来使われている手法です。

パスワードの代わりに、PC に配布されたクライアント証明書を用いて Okta にログインできます。

クライアント証明書の配布や証明書失効リスト(CRL)の公開など、運用負荷が生じる手法のため、今回は割愛します。

FIDO2 認証

FIDO2 は、標準化されたオンライン認証技術です。

パスワードの代わりにユーザーの生体情報や暗証番号(PIN)を使ってユーザー認証します。

パスワードと違い、生体情報や PIN のような「秘密にすべきデータ」を受け渡さないため、安全です。

仕様概要 - FIDO Alliance

今回はプライベートの PC(Windows 10)を使いました。

普段から自宅で Windows Hello 指紋認証でログインしています。

同様に、Windows Hello 指紋認証によって Okta やアプリケーションにもログインできました。

仮に不正ログインが試行されても、事前に登録された FIDO2 認証デバイスがなければログインできないため安心です。

FIDO2 認証デバイスはユーザーが各自で登録しますので、管理者の負担軽減もメリットです。

ユーザーが FIDO2 認証デバイス(今回は Windows Hello 指紋認証 PC)を登録するときのイメージが下図です。

登録するユーザーの本人確認のため、このときはパスワードを使いました。

ユーザーは他にも、FIDO2 対応のセキュリティキーや Touch ID などを利用できます。

前述の PC から、さらにセキュリティキー(Security Key NFC by Yubico)も登録してみました。

一人のユーザーが複数の FIDO2 認証デバイスを登録できることを確認しました。

そして、前述の PC からログインするときは「どれを使って認証したいか?」を選ぶ画面になりました。

このユーザーは、Windows Hello 非対応の別の PC からでも、セキュリティキーを使ってパスワードレス認証できました。

デスクトップ SSO

組織内(または仮想デスクトップなど)で仕事をする AD ドメインユーザーのためのパスワードレス認証機能です。

AD ドメインユーザーはすでに認証済みですので、パスワードなど何も入力せずに Okta やアプリケーションを利用させることができます。

❶ Okta ポータルにアクセスすると AD 認証を要求される

❷ AD(Kerberos Distribution Center)からチケットを取得

❸ そのチケットを Okta に提出

❹ Okta はチケットのユーザーを認証

❺ パスワードレスで Okta やアプリケーションを利用可能に

この動作イメージが下図です。

AD ドメインユーザーは Windows ログイン後、パスワードレスで Okta やアプリケーションを利用できるので便利です。

FIDO2 認証 + デスクトップ SSO

そして、これらを Okta は併用できました。

例えば、組織に「Atsumi」というユーザーがいたとします。

ユーザーは組織内の Active Directory によって管理されています。

その Active Directory ユーザーを Okta へ ID 同期します。

出勤時は、Active Directory ドメインに参加している組織の Windows PC を使って仕事をします。

この PC は「デスクトップ SSO」により、パスワードレスで Okta およびアプリケーションを利用できます。

自宅など組織の外では、組織が管理していない PC を使って仕事をします。

この PC は「FIDO2 認証」により、パスワードレスで Okta およびアプリケーションを利用できます。

どこからアクセスしてもパスワードのいらない、セキュアな環境を構築できました。

おわりに

今回はパスワードレス認証による、パスワードに頼らないログインのイメージをご紹介しました。

Okta はさらに、FIDO2 非対応デバイスを使ったパスワードレス認証にも対応します。

パスワードレス認証を実現する Okta FastPass | Okta

今後も Okta を中心に、お客様にとって有益なレポートを積極的に公開してまいります。

ご興味がおありでしたらぜひ、お気軽に弊社の担当営業までご連絡ください。

Webからのお問い合わせはこちらから

お問い合わせ窓口へ

ピックアップ

Oktaレシピ ④AWS SSO

匠コラム

Oktaレシピ ③ソフトウェア定義境界

匠コラム

Oktaレシピ ①統合ID管理

匠コラム

Azureレシピ ⑤OktaとAzure AD

匠コラム

ナレッジセンターを検索する

カテゴリーで検索

タグで検索