Okta Identity Engine

あらゆるアクセスエクスペリエンスに活用できる、カスタマイズ可能なユーザー管理システム

課題

組織が、カスタマイズされた独自のアイデンティティエクスペリエンスを実現するには、これまでの選択肢は主に次のようなものでした。

Tools cropped new

時間がかかり、セキュリティリスクが生じる可能性のある、カスタムソリューションをゼロから構築する方法。

Box icon new

エクスペリエンスを犠牲にして、事前に定義済みのソリューションを使用する方法。

組織には、両方のアプローチの利点が必要です。すなわち安全性高くすぐに利用ができること、そしてカスタマイズ可能で、組織に適した信頼性が高いカスタマージャーニーを構築できることです。

解決策

Okta Identity Engine は、あらゆるアクセスエクスペリエンスにご活用いただけるカスタマイズ可能なシステムです。Okta Identity Engine をご利用いただくことで、事前に定義された認可、認証、登録の各フローを分割できます。

顧客は、状況に応じコンテキストに基づいたユーザージャーニーを作成することが可能。これにより最小限のカスタムコードで、無制限の数のアイデンティティのユースケースへの対応が可能となります。 ユーザー、デバイス、アプリ、ネットワークのコンテキストを利用しましょう。また、各ユーザーのアイデンティティのジャーニーの通知をもらい、それに応じて対象のアクセスエクスペリエンスを適応させるのです。 Okta Identity Engine は、一連のステップで構成されています。各ステップで、登録、認証、認可といった、ユーザージャーニー全体を操作します。

Okta Identity Engine Building blocks for access

コンポーネントを使い、各ステップの動きをカスタマイズできます。この他にも、コンポーネントでポリシーの評価、フックの起動、イベントの公開、ユーザーアクションの促進、外部サービスへの転送なども行うことが可能です。適用されるユースケースやコンテキストに応じて、カスタマイズすることができます。エンジンにあるステップを省略するように Okta を構成することも可能です。また、任意のアプリや、エクスペリエンスの任意の時点で、実行およびスキップするさまざまなステップを選択し、アイデンティティの多種多様なシーケンスを作成できます。

Okta Identity Engine Customize components New

Okta で適用したカスタマイズに基づきユーザーが一連の操作を進めることができるよう、各ステップ内で以下のようなアクションを実行できます。

  • メールのマジックリンク認証
  • ステップアップ認証
  • 詳細な情報収集
  • アイデンティティの認証または検証
  • カスタムブランディング
  • 外部システムへの転送

フックの実行とイベントの公開をすることで、Okta Identity Engine のセキュリティガードレールをこれまでどおりに活用しながら、無制限のユースケースに対応が可能です。フックを使用することで Okta Identity Engine の拡張性を高めます。これにより、カスタムコードの追加をし、進行中のプロセスの変更や外部サービスの通知が行えるようになります。フックには次の 2 つの種類があります。

Okta Inline Hook arrow

インラインフック

カスタムロジックをコンポーネントに追加

Okta Event Hook arrow

イベントフック

Okta System Log に出力されたイベントに基づき、ダウンストリーム統合を開始

Okta Identity Engine Hooks New

Okta Identity Engine により可能となるユースケース:

パスワードレスの実現

パスワードの使用を廃止することができます。認証シーケンスにパスワードを登録するのではなく、メールのマジックリンクを利用してユーザーを認証することが可能となります。一部のアプリケーションではパスワードレスのフローを利用できますが、メール、プッシュ、WebAuthn などのより強力な要素を必要とするアプリケーションもあります。

メールベースのマジックリンクを使ったパスワードレス認証

Okta Authentication Passwordless Magic Link

柔軟性に優れたアカウントの復元

ユーザーは最新の認証要素を使用することで、忘れたパスワードのリセットが可能です。セキュリティ質問や SMS といった安全性の低い復元方法だけを使用するのではなく、Okta Verify Push や WebAuthn 等セキュリティ強度の高い要素を使用し、認証情報のリセットが可能となりました。これにより、エンドユーザーのアクセスエクスペリエンスを向上、セキュリティ体制を強化し、IT ヘルプデスクへの問い合わせ件数を削減します。

ユーザーによるアカウントの復元の選択肢を拡大

Identity Engine Flexible Account Recovery

プログレッシブプロファイリング

ユーザーエクスペリエンスを最適化するため、企業はよりスムーズに登録ができるよう構成することが可能です。初回登録では、入力する項目数を最小限に抑え、その後の登録で、ユーザーに追加情報の入力を要求するように設定します。たとえば、e コマースサイトで、最初の登録時にはユーザーにメールアドレスの入力を求め、購入する前に住所と電話番号の入力を求めることもできます。

必須およびオプションの属性に対してプログレッシブプロファイリングを追加することにより、顧客のライフタイムの中で顧客IDプロファイルを積み重ねていくことができます。

最初の登録フォームを必要最小限に抑え、後で必要になった時に追加の情報をたずねることで、離脱率を低減できます。

Okta のユーザー管理プログレッシブ プロファイリング 1

追加の属性については、カスタマージャーニーで後の段階になってからたずねます。

Okta のユーザー管理プログレッシブ プロファイリング 2

アプリごとのブランディング

管理者は、各シーケンスを別個のブランディングで設定し、ユーザーがサービスの利用をどのように開始するかに応じ、異なるエクスペリエンスを提供することができます。たとえば、単一のロイヤルティプログラムで複数のブランドを展開するホテル、または複数の子会社を有する親会社では、ユーザーが選んだホテルや企業に応じて、ログインの外観をカスタマイズできます。

アプリケーションのコンテキストに基づいてブランディングをカスタマイズ

アプリごとのブランディング

アプリレベルのポリシー

動的なサインオンポリシーを作成できます。このポリシーは、ユーザーの動作、リスクレベル、コンテキストに基づき、さまざまなアプリケーションに合わせてカスタマイズすることが可能です。たとえば、機密データを取り扱うアプリへのアクセスに、より厳格な保証要件を適用するとします。しかし、ユーザーの過去の行動や現在のコンテキストに基づき、アクセス要求の正当性が非常に高いと考えられる場合には、そのような保証要件を緩和するといったことが考えられます。

セキュリティポリシーのカスタマイズ 

信頼性の高い、適したユーザージャーニーの実現

組織は、すべてを 1 つにまとめることで、他のテクノロジースタックと緊密に統合された、独自のアクセスエクスペリエンスを構築できます。たとえば、消費者向けのエクスペリエンスにおいて、登録プロセス時の煩雑さと離脱を最小限に抑えたい場合は、消費者に名前とメールのみを登録するように求めるエクスペリエンスを提供します。登録完了時に、Event Hook を使用し、そのユーザーをメールマーケティングソフトウェア Marketo のメールキャンペーンに自動的にプッシュすることが可能です。

Okta Identity Engine Browsing app New II

その後、消費者のエンゲージメントが向上するか、消費者がより機密性の高いカスタマーエクスペリエンスの領域に進むことを希望したとします。このような場合には、Okta Identity Engine で、機密性の高い情報を扱うアプリにアクセスする既存ユーザーという新しいコンテキストを使用して、次のステップの一連のユーザー管理を適切に調整します。一例を挙げると、消費者のメールアドレスを検証し、メールのマジックリンクを使って認証することができます。この他にも、消費者を承認して次の工程に進める前に、プログレッシブプロファイリングを活用し、消費者に追加の情報を求めることも可能です。

Okta Identity Engine Ready to transact New

無限の可能性

前述で説明してきた内容は、単なる入り口に過ぎません。Okta Hooks と Okta Identity Engine を使用し Okta を安全にカスタマイズすれば、考えられる限りのあらゆるデジタルエクスペリエンスの基盤とすることができます。実現可能なユースケースには次のようなものがあります。

  • 認証なしでアプリへのアクセスを許可
  • メールアドレスのみを登録
  • 電話番号のみを登録
  • 初回登録時にはメールと名前の入力のみを要求
  • 購入する前に郵送先の住所を入力
  • メールのマジックリンクを使ってユーザーを認証
  • パスワードの登録を認証要素として必要としない
  • 当座預金の高額の出金を行う前に、認証要素として SMS への登録を求める
  • 偽メールを検証
  • 偽アカウントの作成を防止
  • ビジネスコンテキストに対する不正な認証をチェック
  • e コマースのサブブランドサイトに応じ、異なるサインイン用のブランディングを使用
  • e コマースのサブブランドサイトに応じ、異なるメール用のブランディングを使用
  • 子会社に応じて異なるサインイン用のブランディングを使用
  • 子会社に応じて異なるメール用のブランディングを使用
  • 初回登録後、ユーザーを Marketo のマーケティングドリップキャンペーンに追加
  • ショッピングカートへのアクセス後、ユーザーを Marketo のマーケティングドリップキャンペーンに追加
  • 不審なアクティビティの発生時に PagerDuty にアラートをトリガー
  • ブラウザに基づいてユーザーを自動的に特定し、パーソナライズされたエクスペリエンスを提供
  • 登録時、個人データを保存するためユーザーの同意を要求
  • カスタムポリシーを使用し、ユーザーをアクティブにできるかどうかを判断
  • 人事システムからユーザーをインポートするときに使用するカスタムインポートマッチングロジックを作成
  • CRM からユーザーをインポートするときに使用するカスタムインポートマッチングロジックを作成
  • 任意のソースからインポートするときにユーザー名の競合を検出し、カスタムロジックで修正
  • Okta の新規アカウントメール以外に、新規採用者向けに歓迎メールを送信
  • オプションで追加の個人情報(好きな食べ物など)を入力するようにユーザーを促す
  • 購入前にユーザーのサインアップを検証して、製品の輸出規制に対応
  • ユーザープロファイルのデータ変更時(電話番号/住所など)にメールを自動送信
  • パスワードのリセットフローに強力な認証要素を使用
  • データを G Sheet にエクスポート/書き込み
  • マスターとして G Sheet を使用
  • MFA を行うためにユーザーの PII データを Okta に保存しない(データの保管場所に関する要件など)
  • API の使用率が高い場合に管理者に通知
  • CRL の PIV/CAC 証明書の失効時に Okta アカウントをロック
  • 高セキュリティタスク/スコープ用に API AM でステップアップ認証用の MFA を実行
  • MFA に登録してセキュリティ対策を強化するようユーザーを促す

これらのユースケースのサンプルアプリケーションやカスタムロジックなどをご覧くださいOkta Community Toolkit を確認する  ›