こちらはJumpCloud社David Worthington氏によるOkta FastPassとJumpCloud Goの比較に関するブログ記事のCelio社による抄訳です。

Okta FastPass vs. JumpCloud Go™

Written by David Worthington on December 1, 2023

クレデンシャル・フィッシングは、ビジネスやデータの損失から風評被害や法的被害まで、多くの望ましくない結果をもたらします。中小企業(SME)は、多要素認証(MFA)のようなプラットフォーム上で容易に利用できるセキュリティ・コントロールを導入することで対応してきました。しかし残念なことに、敵の戦術や能力は、従来のMFAでは必ずしも十分ではない状況にまで変化しています。そして現実を直視しましょう。多くの人々は単にいくつかのMFAを使うのが嫌いなのです。

 

NISTは2022年2月の論文でこの問題を認識し、「共有される秘密を使用するすべてのMFAプロセスは、フィッシング攻撃に対して脆弱である」と警告しています。解決策は、より強力でユーザーにとってより便利なモダン認証(パスワードレス認証)です。ユースケースは、特権資産やアイデンティティの保護から、単にMFAへの不満の原因をなくすことで誰もが仕事をしやすくすることまで、多岐にわたります。

 

JumpCloudとOktaはどちらも、JumpCloud Go™Okta FastPass™を介してモダンな認証を提供します。これらは同様の目的を果たしますが、実装は大きく異なります。これは実環境において、デプロイの容易さに影響を与え、各プラットフォームで何が可能かを決定します。また、JumpCloud にはクロス OS デバイス管理が統合されていますが、Okta には統合されていません。この記事では、中小企業が参考にできるように、これらのテクノロジーの比較を示します。

Okta FastPassとは?

Okta FastPassは、Oktaのシングルサインオン(SSO)およびMFA製品と連携し、Webアプリケーションにアクセスするためのパスワードレス認証システムです。機能させるにはモバイルアプリのOkta Verifyが必要で、Okta Identity Engine(OIE)の契約者が利用できます。既存のお客様がFastPassを使用するには、Classic EngineからOIE認証パイプラインにアップグレードする必要があります。

Okta FastPassの仕組み

FastPassは公開鍵基盤(PKI)を活用して、鍵のセットをデバイスにバインドします。秘密鍵は、Trusted Platform Module(TPM)やAppleのSecure Enclaveなどの安全な暗号プロセッサに保存されます。デバイスに必要なハードウェアがない場合は、ソフトウェア・キーストアを使用します。アクセス・リクエストは、認証のためにサービス・プロバイダー(SP)からOktaにリダイレクトされ、チャレンジは検証のためにOkta Verifyアプリに渡されます。アプリはデバイスから様々なシグナルを収集し、キーストアを使用してデジタル署名された出力を生成します。Oktaサーバーは、このペイロードをポリシーや署名と照合し、認証の決定を行います。アクセスが許可された場合、または指定されたポリシーアクションが実行された場合、アサーションはSPに渡されます。

注:OktaのFastPass Technical Whitepaperには、すべての認証フローの概要が記載されています。

Okta FastPassの利点と課題

メリット

  • 管理者はFastPassを使用して、あらゆるデバイスや場所からSSOアプリにパスワードレスで認証できます。
  • Okta FastPassは複数の異なるIdPフローで動作します。
  • Active Directory(AD)に依存しません。
  • サードパーティのEMM(Enterprise Mobility Management)またはMDM(Mobile Device Management)がOktaのプラットフォームで使用するように設定されている場合、管理された準拠デバイスへのアクセスを制限する条件付きアクセスを実施することが可能です。
  • FastPassは、デバイスレベルの生体認証と組み合わせることができます。

課題

  • Oktaには統合エンドポイント管理(UEM)がないため、デバイスを管理するにはJumpCloudなどのサードパーティソリューションを設定する必要があります。
  • Device Trustを導入しているOkta Classic Engineユーザーは、OIEにアップグレードした後、FastPassを採用するために慎重にDevice Trustを解除する必要があります。移行プロセスには、元に戻せない手順など、いくつかの注意点があります。
  • 管理者は、FastPassを有効にすることで、管理対象アプリにアクセスするために登録されたままのデバイス・トラスト・ユーザが切断されないことを確認する必要があります。また、新しいOkta Verifyユーザを登録することも可能です。管理対象外のデバイスで作業しているユーザーも、これらの変更の影響を受けないはずです。
  • お客様は、管理証明書をデスクトップデバイスに配布するために認証局(CA)を設定する必要があります。FastPassはOktaのユニバーサル機能ですが、証明書付きのデバイスを使用してOkta Verifyに登録されたユーザーのみが使用を許可されます。
  • リモートユーザーにはモバイルアプリが必要です。管理アプリとして導入することも可能ですが、その場合はEMM/MDMソリューションを別途用意する必要があります。

 

注:Oktaには統合エンドポイント管理(UEM)はありません。サードパーティのMDMに依存しています。

JumpCloud Goとは?

JumpCloud Goは、管理されたデバイス上のJumpCloudで保護されたWebリソースへの安全なパスワードレス認証を可能にします。ユーザーは、生体認証(Apple Touch IDおよびWindows Hello)を備えたデバイス認証機能を使用して、パスワードによるサインインのチャレンジではなく、本人確認を行うことができます。これにより、ユーザーのログインフローが簡素化され、MFAの煩雑さが軽減され、パスワードの使用が最小限に抑えられるため、セキュリティが向上します。JumpCloud Go認証は、ユーザーポータルのMFA要件も満たします。

注:JumpCloud Goは、ユーザーのステータスが「アクティブ」から「一時停止」に変更されると、即座に失効します。これは、このプラットフォームが識別とデバイス管理を統合しているためです。

JumpCloud Goの仕組み

JumpCloud Goはオープンなウェブ標準を使用して構築されています。デバイスユーザーリフレッシュトークン(DURT)は、管理対象デバイス上の管理対象ユーザーによって生成され、ユーザーポータルとSSOアプリへのアクセスを許可します。JumpCloud Goは、Secure EnclaveおよびTrusted Platform Module (TPM) 2.0の仕様を備えたmacOSおよびWindowsデバイスをサポートしています。

注:JumpCloudは、クロスOSデバイス管理をIAMと統合します。プラットフォームアーキテクチャにより、Goは時間の経過とともに、より全体的なポリシーとデバイス設定で拡張することができます。

前提条件として、JumpCloudエージェントがmacOSおよびWindowsデバイスにインストールされ、実行されていることが必要です。現時点では、JumpCloud Goブラウザ拡張機能を備えたGoogle Chromeブラウザをインストールする必要があります。管理者は手動で導入するか、GoogleのChromeブラウザクラウド管理(CBCM)を使用して導入することができます。Goは、追加のコンポーネントなしで集中管理コンソールを通じて有効になります。JumpCloud Goを有効にすると、MFA要素として自動的に保存されます。ユーザーは、JumpCloud Goで生体認証を利用するために、デバイス上で生体認証を設定する必要があります。

 

エンドユーザーは、"JumpCloud Goでログイン "をクリックして登録します。登録フローは、組織の電子メールとパスワードを使用した従来のユーザーコンソールログインです。DURTは12時間ごとに付与され、その後、ユーザーはデバイス認証を使用して身元を確認するよう促されます。

JumpCloud GoとOkta FastPassの比較

 

JumpCloud GoとOkta FastPassは同様の目的を果たしますが、アーキテクチャは異なります。これらの違いは、ソリューションの導入方法や製品の使用事例に影響を与えます。JumpCloudのプラットフォームにはUEMが統合されているが、Oktaの顧客はUEMプロバイダーを選択する必要があります。

 

これらの違いについて、いくつか確認してみましょう。

 

認証

  • JumpCloud GoはDURTを使用して、SSOとJumpCloudユーザーコンソールのMFA要件を満たすパスワードレス認証を提供します。IAMとUEMが統合されているため、Goを使用するために登録されるのは管理対象のデバイスとユーザーだけです。ジャンプクラウドの条件付きアクセスポリシーは、デバイスの信頼証明書をデスクトップに展開します。
  • OktaのFastPassは、Okta OIE、Okta Verifyなどのコンポーネントを使用してPKIを中心に構築されています。外部のUEMと連携して完全なソリューションを提供します。
  • Oktaでは、特権リソースのステップアップMFAとしてPIV/CACカードを使用可能です。DURTを使用しても、現時点ではステップアップMFAの要件を満たすことはできません。これに対してJumpCloudは、セキュリティを強化するためにWindows Helloなどのデバイス認証機能と統合しています。

注:JumpCloudには、管理者がコンピュータ全体をロックアウトする機能があります。これは、ネイティブアプリだけでなく、すべてのブラウザから未承認ユーザーを効果的にロックアウトします。Oktaのユニバーサルログアウトは、ブラウザセッションを終了することができますが、それをサポートするSSOアプリに依存しています。Oktaにはネイティブのエンドポイント管理機能がありません。

展開

  • JumpCloud Goは、管理対象デバイスのブラウザ拡張機能を使用して展開されます。管理コンソールを使用してオンにします。
  • Oktaの管理者は、Okta Verifyアプリを展開し、CAを設定し、外部のUEMベンダーと統合する必要があります。
  • JumpCloud Goは、顧客のニーズを受けてLinuxでも提供される予定です。
  • Okta FastPassはAndroidとAppleのモバイルデバイスをサポートします。ただし、いくつかの前提条件があります。
    • FastPassは、ユーザーにプロンプトを表示せずに動作するために、Safariの拡張機能が必要です。MDMプロバイダーは、MFA用の拡張機能を定義するために、AppleのExtensible Single Sign-Onフレームワークをサポートしている必要があります。

 

統合デバイス管理

  • UEMはOktaの機能には含まれませんが、JumpCloud Goはデバイス管理を実施できます。そのため、Okta FastPassではデバイス管理は必須ではありません。
  • JumpCloud Goの認証情報は保護され、管理対象デバイス上の管理対象アカウントのログイン認証情報に紐付けられます。Okta FastPassはそのように動作しません。
  • Okta FastPassはデスクトップのシングルサインオンに使用できます。JumpCloud Goは、アプリとリソースを保護するため、現時点ではユーザーポータル認証専用として使用されます。

 

ライセンス

  • お客様は、JumpCloud Platformパッケージを契約するか、JumpCloudのデバイス管理とSSO SKUを契約することで、JumpCloud Goを利用することができます。
  • すべてのOktaプランにおいて、最低1,500ドルの年間契約が必要です。オンプレミスコンポーネントの導入・管理には別途費用がかかる場合があります。OktaはUEMを提供していないため、セキュアなデバイス状態を実現するにはUEMを別途入手する必要があります。

 

ユーザー体験

  • DURTを使用することで、管理されたリソースにアクセスするためのインタラクティブなパスワード認証が少なくなり、より優れたエンドユーザー体験が実現します。
  • どちらのソリューションも、構成可能なセッション設定を提供します。

 

 

JumpCloud Goを試してみましょう!

管理者は、JumpCloud Goを使用することで、デスクトップから資産へのセキュアな特権アクセスに効率的に移行し、MFAの煩雑さを解消することができます。JumpCloudのクロスOSデバイス管理により、セキュリティ・ベースラインを満たす管理対象デバイスのみにアクセスを制限することが可能になります。

 

JumpCloud Goの詳細をお知りになりたい場合は、弊社までご連絡ください。