はじめに：Okta FastPassとは？

Oktaではログイン認証の際にパスワードに加えて多要素認証(MFA)の機能を提供しています。

代表的なものはワンタイムパスワード(OTP)などがありますが、Oktaの独自機能である「FastPass」は、その中でもより強固なセキュリティを実現する認証方式になります。

Okta Verifyをインストールし端末を登録することで、デバイス情報(＋生体認証)をベースにパスワード不要でログインができるようになります。

　

FastPassの仕組み

★端末にOkta Verifyをインストールし、Okta側にユーザーと端末の情報を登録する

→端末登録をする際に、Okta VerifyがデバイスのTPM(Trusted Platform Module)を利用して
　ユーザー名に紐づいた公開鍵・秘密鍵を生成

→公開鍵をOktaのサーバーへ送信することで、Okta側でユーザーと端末の情報が登録される

　

FastPass設定方法

FastPassの有効化

Oktaの管理コンソールより「セキュリティ」>「Authenticator」へ進みます。

＜Okta Verify＞の"アクション"から「編集」を選択します。

Okta Verifyの 以下設定を確認します。

[検証オプション] > [Okta FastPass(すべてのプラットフォーム)] にチェック

[Okta FastPass] > [Okta FastPassを使用してサインインする] ボタンを表示 にチェック

Okta Verifyをデバイスにインストール

Windowsの場合は、「設定」＞「ダウンロード」より

デスクトップアプリ [Okta Verify for Windows]をダウンロードします。

Okta Verifyでアカウントの追加

Oktaにアクセスし、「Okta FastPassでサインイン」をクリックします。

Okta Verifyを開きます。まだダウンロードしていない端末はこのタイミングでダウンロードもできます。

「アカウントの追加」をクリックします。

サインインが求められるので、ユーザー認証をします。

認証が成功すると、生体認証を設定する画面に推移するので「有効化」を押します。

生体認証はオプションのため必須ではありませんが、管理者の設定により必須にすることも可能です。

アカウント追加が完了すると、以下の画面が表示されます。

Oktaの管理コンソールを確認します。

「ディレクトリ」>「デバイス」に設定したWindows端末の情報が登録されていることが分かります。

　

動作イメージ

Oktaのダッシュボードにアクセスし、「Okta FastPassでサインイン」をクリックします。

Windows Helloで顔認証が求められ、成功するとそのままログインができました。

　

おわりに

Oktaの機能の中でも、パスワードレス/生体認証/端末制御...などの観点からご質問も多いFastPassについて簡単に紹介しました。

FastPass = 生体認証というイメージを持たれる方も多いのですが、実際には事前にユーザー名とデバイスを紐づけ、Okta Verifyがその情報をOktaに送ることでユーザーの「所持情報」として認証の1要素とすることができ、さらに、「生体認証」を追加することで2要素での認証にできるという考え方です。

セキュリティ強度が上がるだけでなく、ユーザーの体感としては、ログイン時にユーザー名やパスワードを入力することなく認証ができるため利便性向上が期待できる方式です。

こちらでは詳しく紹介できていませんが、FastPassを登録済みのデバイスであることや、デバイスのコンテキスト情報に基づいて各アプリケーションへの認証ポリシーを設定することも可能となり、端末制御の観点からご検討いただくお客様も増えています。

---

※本ブログの内容は投稿時点での情報となります。
　今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。