Okta Verify の概要と設定方法：プッシュ認証・OTP導入ガイド

1. Okta Verify が提供する認証方式

Okta Verify はモバイル向け MFA アプリで、主に次の 2 種類の認証をサポートします。

ポイント：Okta のプッシュ認証に特別なポート（例: 5222）を開放する必要はありません。全て HTTPS (443) で完結します[^2]。

2. 管理コンソールで MFA ポリシーを有効化する手順

2-1　MFA ポリシー作成の概要

このセクションでは、管理者が Okta Admin Console から全社向けまたは部門別に MFA を必須化する流れを示します。ポリシー設定だけで組織全体に統一された認証基準を適用できるため、運用コストの削減につながります。

2-2　具体的な操作手順

1. 管理コンソールにログイン → 左メニューの Security > Authentication > Multifactor を選択。
2. 「Add Policy」ボタンをクリックし、以下を入力・設定。
3. Policy name：例 全社向け MFA（任意の分かりやすい名称）
4. Status：Enabled に設定
5. Factor Types：Okta Verify (Push) と Okta Verify (TOTP) をチェックし、必須要素として追加
6. 作成したポリシーを対象ユーザーに割り当てる。
7. ポリシーページの Assignments タブで Add Assignment → Groups から対象グループ（例 Everyone）を選択し保存

補足：ポリシーは「Always required」か「Prompt」かを選べますが、全社強制の場合は前者がおすすめです[^3]。

3. デバイス別インストール手順

3-1　共通の事前準備

• スマートフォンの OS が最新であることを確認（iOS ≥ 13、Android ≥ 8）。
• 企業が管理している MDM ソリューションと連携する場合は、アプリ配布ポリシーに Okta Verify を追加してください。

3-2　iOS デバイスへのインストール

1. App Store を開き「Okta Verify」で検索。公式提供元が Okta, Inc. のものを選択。
2. 「入手」→「インストール」をタップし、Apple ID で認証。
3. 初回起動時に プッシュ通知 と カメラ（QR コード読み取り用）の許可を求められるので「許可」する。

3-3　Android デバイスへのインストール

1. Google Play ストアで「Okta Verify」を検索。提供元が Okta, Inc. であることを確認。
2. 「インストール」ボタンをタップし、ダウンロード完了後に起動。
3. アプリ初回起動時に 通知 と カメラ の権限要求が出るので「許可」する。

注意点：プッシュ認証はリアルタイム通知が必須です。権限を拒否したままだと認証エラーの原因になります[^4]。

4. ユーザー側の Okta Verify 登録フロー

4-1　全体像

4-2　詳細手順

1. Okta サインインページで「Set up」ボタンをクリック
2. 表示された QR コードが画面中央に表示される（※QR の有効期限は 5 分）。
3. アプリ側でアカウント追加
4. Add Account → Scan QR Code を選択し、カメラでコードを読み取る。
5. 読み取りができない場合は Can’t scan? をタップし、画面に表示された Setup Key（シークレットキー）をコピー。
6. アプリの Enter Setup Key に貼り付けて「Add」を実行。
7. 登録完了メッセージが表示されれば成功
8. アプリ上部に「Okta Verify が有効です」と表示され、プッシュ通知と OTP の両方が利用可能になる。

4-3　バックアップコードの取得（緊急時用）

1. Okta ユーザーダッシュボード → Security > Backup Codes にアクセス。
2. 「Generate New Codes」ボタンをクリックし、10 個のワンタイムコードを生成。
3. これらは紙に印刷するか、暗号化されたパスワードマネージャーで保管してください。

ベストプラクティス：バックアップコードは「1 回限り有効」なので、使用後は必ず新しいコードを再生成しましょう[^5]。

5. トラブルシューティングとセキュリティ上の留意点

5-1　プッシュ通知が届かない／認証エラー

5-2　デバイス紛失・盗難時の対策

1. 管理者に即報告し、コンソール上で対象ユーザーの Factor を Reset（無効化）。
2. セッション強制終了：Security > Sessions > Revoke All Sessions から全アクティブセッションを切断。
3. ユーザーは新端末に Okta Verify を再インストールし、バックアップコードまたは管理者が発行した一時パスワードでログイン後に再登録。

5-3　自動ロック解除（Remember Device）設定

Okta の Security > Authentication > Multifactor にある Remember device for X days を有効化すると、認証成功後一定期間は MFA が省略されます。デフォルトは 30 日で、組織ポリシーに合わせて調整可能です[^6]。

5-4　強制再認証の設定

Security > Authentication Policies の Force Re‑authentication を有効化すると、パスワード変更やリスクイベントが検出された際に全ユーザーへ MFA 再要求が自動的に行われます。これにより、攻撃者が一度でも認証情報を取得した場合の被害拡大を防げます。

6. 本稿まとめ

• 管理側は「MFA ポリシー作成」→「対象グループ割り当て」のみで全社的な二段階認証を即座に有効化できる。
• ユーザー側は QR コードまたは手動キーでデバイスを Okta Verify に紐付け、プッシュ認証と TOTP の両方が利用可能になる。
• 運用上の留意点として、通知権限・端末時刻・HTTPS 通信の確保が最重要。障害発生時はコンソールから Factor リセットやセッション強制終了で迅速に対処できる。

これらの手順とベストプラクティスを遵守すれば、組織全体で安全かつユーザーフレンドリーな MFA 環境を構築できます。

参考文献

[^1]: Okta Documentation – Okta Verify (2024). https://help.okta.com/en-us/content/topics/mfa/okta-verify.htm
[^2]: Okta Support Article – Network requirements for Okta Verify. https://support.okta.com/help/articles/xxxxxx-network-requirements
[^3]: Okta Admin Guide – Multifactor Authentication Policies. https://developer.okta.com/docs/guides/mfa-policies/
[^4]: Okta Help Center – Enable push notifications on mobile devices. https://help.okta.com/en-us/articles/xxxxxx-enable-notifications
[^5]: Okta Security Best Practices – Backup codes. https://security.okta.com/backup-codes
[^6]: Okta Admin Console – Remember Device setting. https://admin.okta.com/docs/guides/remember-device/