こちらはJumpCloud社David Worthington氏によるOkta FastPassとJumpCloud Goの比較に関するブログ記事のCelio社による抄訳です。
Written by David Worthington on December 1, 2023
クレデンシャル・フィッシングは、ビジネスやデータの損失から風評被害や法的被害まで、多くの望ましくない結果をもたらします。中小企業(SME)は、多要素認証(MFA)のようなプラットフォーム上で容易に利用できるセキュリティ・コントロールを導入することで対応してきました。しかし残念なことに、敵の戦術や能力は、従来のMFAでは必ずしも十分ではない状況にまで変化しています。そして現実を直視しましょう。多くの人々は単にいくつかのMFAを使うのが嫌いなのです。
NISTは2022年2月の論文でこの問題を認識し、「共有される秘密を使用するすべてのMFAプロセスは、フィッシング攻撃に対して脆弱である」と警告しています。解決策は、より強力でユーザーにとってより便利なモダン認証(パスワードレス認証)です。ユースケースは、特権資産やアイデンティティの保護から、単にMFAへの不満の原因をなくすことで誰もが仕事をしやすくすることまで、多岐にわたります。
JumpCloudとOktaはどちらも、JumpCloud Go™とOkta FastPass™を介してモダンな認証を提供します。これらは同様の目的を果たしますが、実装は大きく異なります。これは実環境において、デプロイの容易さに影響を与え、各プラットフォームで何が可能かを決定します。また、JumpCloud にはクロス OS デバイス管理が統合されていますが、Okta には統合されていません。この記事では、中小企業が参考にできるように、これらのテクノロジーの比較を示します。
Okta FastPassとは?
Okta FastPassは、Oktaのシングルサインオン(SSO)およびMFA製品と連携し、Webアプリケーションにアクセスするためのパスワードレス認証システムです。機能させるにはモバイルアプリのOkta Verifyが必要で、Okta Identity Engine(OIE)の契約者が利用できます。既存のお客様がFastPassを使用するには、Classic EngineからOIE認証パイプラインにアップグレードする必要があります。
Okta FastPassの仕組み
FastPassは公開鍵基盤(PKI)を活用して、鍵のセットをデバイスにバインドします。秘密鍵は、Trusted Platform Module(TPM)やAppleのSecure Enclaveなどの安全な暗号プロセッサに保存されます。デバイスに必要なハードウェアがない場合は、ソフトウェア・キーストアを使用します。アクセス・リクエストは、認証のためにサービス・プロバイダー(SP)からOktaにリダイレクトされ、チャレンジは検証のためにOkta Verifyアプリに渡されます。アプリはデバイスから様々なシグナルを収集し、キーストアを使用してデジタル署名された出力を生成します。Oktaサーバーは、このペイロードをポリシーや署名と照合し、認証の決定を行います。アクセスが許可された場合、または指定されたポリシーアクションが実行された場合、アサーションはSPに渡されます。
注:OktaのFastPass Technical Whitepaperには、すべての認証フローの概要が記載されています。
Okta FastPassの利点と課題
メリット
課題
注:Oktaには統合エンドポイント管理(UEM)はありません。サードパーティのMDMに依存しています。
JumpCloud Goとは?
JumpCloud Goは、管理されたデバイス上のJumpCloudで保護されたWebリソースへの安全なパスワードレス認証を可能にします。ユーザーは、生体認証(Apple Touch IDおよびWindows Hello)を備えたデバイス認証機能を使用して、パスワードによるサインインのチャレンジではなく、本人確認を行うことができます。これにより、ユーザーのログインフローが簡素化され、MFAの煩雑さが軽減され、パスワードの使用が最小限に抑えられるため、セキュリティが向上します。JumpCloud Go認証は、ユーザーポータルのMFA要件も満たします。
注:JumpCloud Goは、ユーザーのステータスが「アクティブ」から「一時停止」に変更されると、即座に失効します。これは、このプラットフォームが識別とデバイス管理を統合しているためです。
JumpCloud Goの仕組み
JumpCloud Goはオープンなウェブ標準を使用して構築されています。デバイスユーザーリフレッシュトークン(DURT)は、管理対象デバイス上の管理対象ユーザーによって生成され、ユーザーポータルとSSOアプリへのアクセスを許可します。JumpCloud Goは、Secure EnclaveおよびTrusted Platform Module (TPM) 2.0の仕様を備えたmacOSおよびWindowsデバイスをサポートしています。
注:JumpCloudは、クロスOSデバイス管理をIAMと統合します。プラットフォームアーキテクチャにより、Goは時間の経過とともに、より全体的なポリシーとデバイス設定で拡張することができます。
前提条件として、JumpCloudエージェントがmacOSおよびWindowsデバイスにインストールされ、実行されていることが必要です。現時点では、JumpCloud Goブラウザ拡張機能を備えたGoogle Chromeブラウザをインストールする必要があります。管理者は手動で導入するか、GoogleのChromeブラウザクラウド管理(CBCM)を使用して導入することができます。Goは、追加のコンポーネントなしで集中管理コンソールを通じて有効になります。JumpCloud Goを有効にすると、MFA要素として自動的に保存されます。ユーザーは、JumpCloud Goで生体認証を利用するために、デバイス上で生体認証を設定する必要があります。
エンドユーザーは、"JumpCloud Goでログイン "をクリックして登録します。登録フローは、組織の電子メールとパスワードを使用した従来のユーザーコンソールログインです。DURTは12時間ごとに付与され、その後、ユーザーはデバイス認証を使用して身元を確認するよう促されます。
JumpCloud GoとOkta FastPassの比較
JumpCloud GoとOkta FastPassは同様の目的を果たしますが、アーキテクチャは異なります。これらの違いは、ソリューションの導入方法や製品の使用事例に影響を与えます。JumpCloudのプラットフォームにはUEMが統合されているが、Oktaの顧客はUEMプロバイダーを選択する必要があります。
これらの違いについて、いくつか確認してみましょう。
認証
注:JumpCloudには、管理者がコンピュータ全体をロックアウトする機能があります。これは、ネイティブアプリだけでなく、すべてのブラウザから未承認ユーザーを効果的にロックアウトします。Oktaのユニバーサルログアウトは、ブラウザセッションを終了することができますが、それをサポートするSSOアプリに依存しています。Oktaにはネイティブのエンドポイント管理機能がありません。
展開
統合デバイス管理
ライセンス
ユーザー体験
JumpCloud Goを試してみましょう!
管理者は、JumpCloud Goを使用することで、デスクトップから資産へのセキュアな特権アクセスに効率的に移行し、MFAの煩雑さを解消することができます。JumpCloudのクロスOSデバイス管理により、セキュリティ・ベースラインを満たす管理対象デバイスのみにアクセスを制限することが可能になります。
JumpCloud Goの詳細をお知りになりたい場合は、弊社までご連絡ください。
サイトメニュー