リクエストの登録ありがとうございます。トラスト・ログインのプロダクトオーナーをしております森と申します。

承知いたしました。検討させていただきます。

こちら社内で再度ニーズが上がってきているのですが、実装予定はございますでしょうか。

コメントいただきありがとうございます。
申し訳ございませんが中期での機能追加として検討しており、近々での実装予定はございません。

参考情報としてお尋ねしますが、ステップアップ認証とする多要素認証はどちらの利用を想定されておりますでしょうか。また、対象とするアプリはSAML認証のみで問題ございませんでしょうか。

ステップアップ認証を要望されている背景としましては、特定アプリへの認証レベルを強化することが目的であるため、通常利用の際に多要素認証を必須とするのはユーザー負担が大きいとお考えであるという理解で合っておりますでしょうか。FIDO認証などは普段使いしやすい多要素認証となるため、こちらへの移行をご検討いただくのも1つの手になると考えての確認となります。

どうぞよろしくお願いいたします。

ご回答ありがとうございます。

多要素認証としてはIPアドレス制限とデバイス認証を想定しております。

SAMLアプリのみで問題ありません。

具体的なユースケースとしては、社内PCは固定IPでアクセス可で、スマートフォン等で社用のもののみアクセス許可したい、という場面です。認証レベル強化ではありません。

社内PCにも証明書を設定すれば実現可能という認識ではありますが、数が多いためシステム担当が対応するのは困難であり、エンドユーザーにインストールさせると証明書を不正に持ち出す等の懸念があります。

デバイス証明書という手段もありますが、これのためだけに追加でコストはかけられないという状況でもあります。

コメントありがとうございます。

伺ったユースケースでは認証全般をステップアップ認証の対象としても良さそうに見えます。特定アプリへのステップアップ認証を必要とする部分について、もう少し詳しくお伺いできますでしょうか。

よろしくお願いいたします。

たとえばLINEWORKSはBYODを許可しており、任意の端末にて使用しております。

全般をステップアップ認証にしてしまうと、社員個人スマホへの証明書導入が必要になってしまい、これは運用上難しいという話になっており、アプリごとにステップアップ認証を採用したいと考えております。

承知いたしました。

社内PCと社外デバイスをIPアドレス制限で区別する。社外デバイスではBYODでの利用を許可するアプリと社給デバイスのみでの利用を許可するアプリがあり、証明書の有無でアプリの実行を制御するという使い方を想定されていらっしゃると理解いたしました。

伺いましたユースケースも想定したうえで、機能追加の参考にさせていただきます。
ご意見いただきましてありがとうございました。