Okta（オクタ）

Topics

クラウド認証基盤サービス：IDaaS

Okta^®は、シングルサインオン、多要素認証、IDライフサイクル管理機能をクラウドで提供するサービスです。

多くのアプリケーションサービスがクラウド化したことにより、ID/パスワードがインターネット上に拡散してしまっています。ユーザーは多くのパスワードを覚えることが困難なのでパスワードを使い回しているのが現実です。一方でセキュリティー対策が脆弱なサイトではID/パスワードの流出が相次いでいます。このようなことからクラウドサービス事業者の多くが、サービス側にパスワードを持たないモダンな認証としてSAMLもしくはOpenID Connectに対応しはじめています。このモダンな認証を利用するために認証専用の基盤としてIDプロバイダーが必要になります。Oktaはその認証基盤を提供するIDaaSの専門サービス提供会社です。

クラウドセキュリティーの概念図

昨今の課題

• クラウドサービスの増加でユーザーのパスワードがインターネット上に乱立
• 世界中から利用できるのでパスワード認証では、なりすましによる不正アクセスが心配
• モバイルPCやスマートデバイスでも利用したい
• グローバルで共通のセキュリティー環境を構築したい
• グループ企業や取引先企業とのコラボレーション環境を作りたい
• 退職者が不正にアカウントを利用しないよう管理したい

Oktaが解決します

• モダンな認証機能を備えたシングルサインオン機能で乱立したパスワードを削減
• さまざまな多要素認証（Multi-Factor Authentication）により強力な本人認証機能を提供
• PCやスマートデバイスでもシングルサインオンやアクセス制御が可能
• クラウドサービスのなので多企業間のユーザー管理基盤として最適

特徴

柔軟なシングルサインオン

• セキュリティー強度が高いモダンな認証であるSAMLやOpenID Connectに対応
• ID/パスワードの代行入力方式も対応
• あらかじめ用意されたシングルサインオン可能なサイトが5,500以上

企業間連携

• Oktaクラウドサービス内にユーザー情報を格納するため、異なる企業のユーザーでもまとめて管理ができます。
• Okta AD Agentにより容易にオンプレミスのActive Directoryと同期が可能。アウトバウンド通信のみでユーザー情報の同期やパスワード認証が可能なので導入が非常に簡単です。

Okta AD Agentを利用したユーザー情報連携の図

強力な本人認証機能

• スマートデバイスへの通知を行う2経路認証や指紋認証が利用できます。
• Windows Helloにも対応しています。
• 利用できるデバイスを制限することも可能です。
• ユーザーの環境などを考慮したコンテキストベース認証にも対応します。

グローバルでの多数の実績

• グローバルレベルで数千の企業で採用されています。
• 日本国内においてもグローバル企業をはじめさまざまな業種でご利用いただいております。

Why ユニアデックス?

ユニアデックスは、クラウドセキュリティーソリューションとしてZscalerやVMware Workspace ONEを取り扱っており、モバイルアクセス環境においてOktaとの認証連携を行う提案・設計が可能です。また、McAfee MVISION CloudやSumo Logicによるログ分析サービスと組み合わせた提案も可能です。

ZscalerとOktaによるモバイル環境

１）シングルサインオン：Single Sign On（SSO）

• ユーザーは、一度Oktaにログインすれば、アプリケーションのログイン操作が省略されます。
• SAMLやOpenID Connectを利用することでクラウドサービスからパスワードを除外できます。
• 統合Windows認証によりドメインログオンとのシングルサインオンも可能です。
• Okta AD（or LDAP） Agentにより、オンプレミスのActive Directory（or LDAP）に対してパスワード照合することができます。
• ブラウザーのプラグインによりID/パスワードの代行入力方式によるシングルサインオンが利用できます。
• スマートデバイスの専用アプリケーションによりスマートデバイスでもシングルサインオンが可能です。

２）多要素認証：Multi-Factor Authentication（MFA）

• 多要素認証として以下の追加認証が可能です。

　Okta Verify（Oktaスマートデバイスアプリケーション）によるワンタイムパスワード
　Okta Verify（Oktaスマートデバイスアプリケーション）によるプッシュ通知
　FIDO2認証、Windows Hello認証、TouchID/FaceID
　SMSやメールによるワンタイムパスワード
　3rdパーティ（Yubikey等）
　IDP Factor
　秘密の質問
　PIV認証

• デバイストラスト

　管理されたデバイスに限定することができます。
　MDM製品と連携する方法、ドメイン参加Windowsへの証明書配布などの方式があります。
　対象OS：　Windows、MacOS、iOS、Android登録されたデバイスに限定
　　iOSネイティブアプリにおいてもデバイストラストが可能です。（アプリによる）

• 多要素認証の条件設定

　登録されたソースIPアドレスかの判断
　指定されたグループ、ユーザー、アプリケーション
　パスワードを含まない多要素認証の設定も可能（パスワードレス認証）

• リスクベース、コンテキストベースによる認証制御

　デバイスの地域や初めて接続される端末などの情報を基にリスクを評価し、より強い認証を求めることが可能です。

３）IDライフサイクル管理：ID Life Cycle Management（LCM）

• Oktaのクラウド基盤上でユーザー情報を格納できます。標準属性以外にもユーザーで必要な属性を追加できます。
• 属性マッピング機能により、属性情報間で値の紐づけが可能です。
• Okta AD（or LDAP） Agentにより、オンプレミスのActive Directory（or LDAP）からユーザー情報の同期が可能です。ADにユーザーが追加されたり無効化された情報をOktaクラウド基盤に同期させることが可能です。
• 120以上のクラウドサービスに対して、自動でユーザー情報の同期を行うことが可能です。
• 人事クラウドサービスから最新のユーザー情報を取得し、オンプレミスのADや他のクラウドサービスにユーザー情報の同期を行うことが可能です。
• 管理者権限を分散できるので企業毎に管理者を設定し、配下のユーザー情報のみを管理するという方法も可能です。