Oktaは最近、ユーザーのエンロールメントフローを簡素化する新しい登録フローを導入しました。これは「同一デバイス登録」と呼ばれており、ユーザーが現在使用しているデバイス上で、より少ない手順でOkta Verifyに登録できるようになります。Okta Verifyの同一デバイス登録は、セキュリティ面でも大きな進歩であり、フィッシング耐性のある、ユーザーが直感的に使える仕組みを提供します。従来のブラウザベースの登録方式(QRコード、SMS、Eメールなど)には、悪意ある第三者による傍受のリスクという重大な脆弱性がありましたが、この新しいフローはそうした問題に対処しています。新しい手順では、認証ポリシーへの準拠を確実にしながら必要な認可トークンを安全に取得することで、ユーザー登録全体のセキュリティ態勢を強化します。
シンプルで安全な登録プロセスの必要性
これまでのブラウザベースのエンロールメントフローでは、主にモバイルデバイスでの登録を前提としていました。ユーザーが自分のアカウントにOkta Verifyを登録しようとすると、ブラウザに表示されたQRコードをモバイルデバイスで読み取るか、SMSまたはEメールでモバイルデバイスに送信されたアクティブ化リンクを使って登録する、という方法が用意されていました。
しかし、従来の方法にはいくつかの問題がありました。
- モバイル登録の制約:すでにモバイルデバイスを使用しているユーザーはQRコードを読み取ることができないため、セキュリティ面で劣るSMSやEメールの方法を使わざるを得ませんでした。
- デスクトップ登録の制約:デスクトップデバイスを使用しているユーザーは、その同じデバイス上でブラウザベースのフローを使って登録することができないため、実質的に別のモバイルデバイスで登録する必要がありました。
- セキュリティリスク:最も大きな問題は、QRコード、Eメール、SMSによる登録方法そのものが本質的に安全とは言えない点でした。悪意のある第三者がQRコードやEメール、SMSを簡単に傍受し、自分のデバイスを登録できてしまうためです。
新しいアプローチ
ユーザーが登録を行うデバイス上で安全に認証できて、組織の認証ポリシーを確実に適用できる、新たな仕組みが必要でした。最新のOkta Identity Engineを利用している組織では、ユーザーがOIDCを介して手動で認証し、登録に必要となる適切な認証トークンを取得することで、より安全に登録を行う方法がすでに存在しました。そこで私たちは、この既存のフローを活用しつつ、ユーザーを案内するための半自動的な仕組みを追加することにしました。
この機能を有効にすると、ユーザーがサインインウィジェットからOkta Verifyへの登録を試みた際に、ブラウザがOkta Verifyアプリを自動的に起動します。アプリはユーザーをOIDCフローへと誘導し、登録を許可するために適切な権限やスコープを持つ認証トークンを取得します。
この新しいアプローチは、セキュリティ面で大きな前進となります。モバイルデバイス上のブラウザベースの登録は脆弱で傍受の影響を受けやすいものでしたが、その方式から新しいOIDCベースのフローに移行すれば、フィッシング耐性のある、より直感的な登録プロセスを実現できます。
同一デバイス登録の利用方法
同一デバイス登録を有効にするには、Okta Verifyの認証者設定でFastPassが有効になっていることを確認してください。
Okta Verifyのセキュリティ設定の構成方法は以下のとおりです。
- 高度なセキュリティ:Okta Verifyの登録方法として同一デバイス登録のみを許可するには、「高度なセキュリティ」を選択します。
- 任意のセキュリティ:同一デバイス登録に加えて、モバイルベースの登録方法もユーザーが選択できるようにするには、「任意のセキュリティ」を選択します。
これらの設定の詳細については、ドキュメントを参照してください。
フロー図
このブログ記事についてのご質問は、eng_blogs@okta.comまでご連絡ください。
Oktaの洞察力に富んだエンジニアリングブログで、知識をさらに深めてください。
Oktaの情熱的で優秀なエンジニアチームで働きませんか?採用情報ページをご覧ください。
Oktaは、最新かつ高度なアイデンティティ管理の可能性を解き放ちます。詳細は、セールス担当者にお問い合わせください。
