アイデンティティ管理のサービスプロバイダーであるOkta, Inc.(本社:米国・サンフランシスコ 以下Okta)は、 エンドユーザーがOktaアカウントにサインインする際にエンドユーザーのアイデンティティを確認する多要素認証アプリ「Okta Verify」 (プッシュ通知) がリスクベース認証に対応したことを、 最新機能アップデートの中で正式に公開(GA)しました。
この新機能により、 管理者は、 エンドユーザーが組織にサインインしてOkta Verify で認証する時のルール作成において、 サインインのリスクレベルを設定し、 指定されたリスクレベルに対応する認証を割り当てることができます。
リスクレベルの設定は、 下記のリスク要因に応じて3段階(高・中・低)を選択できます。 デフォルトでは「Any」に設定されています。
- 場所やIP情報の変則性
- デバイス情報の変則性
- 疑わしい脅威(例、 DDOS、 ブルートフォースやパスワードスプレー攻撃など)
また、 リスクが高いと判断される認証が生じた時(例えば、 中間者攻撃を受けやすいと判断された場合など)には、 Okta Verify (プッシュ通知)のモードが自動的にナンバーチャレンジへ切り替わります。 このようにリスクベース認証と Okta Verify を組み合わせることで、