Oktaブラウザー プラグイン:セキュリティ機能
Oktaブラウザー プラグインは、エンドユーザーの資格情報のセキュリティを強化する機能を提供します。
SSL
プラグインはSSLを使用してOktaから資格情報を取得します。プラグインを必要とするOkta管理対象アプリが起動すると、Oktaブラウザー プラグインのポップアップ バナーが現れ、Oktaで資格情報を自動入力できるようになります。承認すると、プラグインはSSLを使用してOktaから資格情報を取得します。自動送信オプションを選択した場合、このプロセスが自動的に起こります。
認証プロセスはバックグラウンドで実行され、資格情報はアプリのサインオンページにアクセスできない場所に一時的に格納されます。プラグインは、 資格情報をページに挿入して送信し、ページのリダイレクト後に削除することで、サインオンページの入力プロセスのシミュレーションを試みます。この接続はアプリのターゲットURLによってHTTPSまたはHTTPのいずれかです。
アプリを構成する際はHTTPSを使用します。
SSL証明書のピン留め(Internet Explorer)
Internet Explorer向けのOktaブラウザー プラグインは、MiTM攻撃から保護するためにSSLピン留めをサポートします。MiTM攻撃が成功すると、ユーザーの資格情報、セッション識別子、その他の機密情報が傍受されるおそれがあります。SSLピン留めを使用して、Internet Explorer向けのOktaブラウザー プラグインは、前もって検証かつ信頼されたサーバー証明書のリストを維持、またはピン留めします。ユーザーがWebサイトを閲覧すると、プラグインはサイトの証明書を取得してそれを信頼済みサーバー証明書のリストと照合します。照合に失敗すると、Oktaは*.okta.comおよび*.oktapreview.comへの接続を拒否し、ユーザーにOktaサポートに連絡するよう促すプロンプトを表示します。
プラグインを使用した操作のための環境設定(Internet Explorer)
企業がWebプロキシを使用してSSLインターセプトを実行するか、その他の情報漏洩対策を取る場合、Internet Explorer向けOktaブラウザー プラグインを使用した操作に合わせて環境を設定する必要があります。
Internet Explorer向けOktaブラウザー プラグインを以下のように設定します。
- Windowsレジストリ エディターで、
[HKEY_CURRENT_USER\Software\AppDataLow\Software\Okta\IE Plugin]に移動します。 SkipCertPinningという名前のDWORD (32ビット)値を新規に作成します。- 値を
1に設定します。
組織がWebプロキシを使用してSSLトラフィックをインターセプトする場合に限り、証明書ピン留めを無効化する必要があります。Oktaは他のシナリオでこの機能をオフにすることは勧めません。
URL文字列のマッチング
Oktaブラウザー プラグインはアプリのURLの文字列をチェックし、そのアプリの統合詳細でOktaが保有する文字列と一致しているか確認します。これにより、資格情報が確実に正しいURLに送信されるようになります。
下表はプラグインが検索する文字列、文字列が必須かどうか、およびプラグインが推測するフォーマットを示しています。
| 文字列 | 例 | 必須 | メモ |
|---|---|---|---|
| プロトコル | https | 必須 | 同一である必要があります。 |
| ホスト | www.yoursite.com | 必須 | 同一である必要があります。 |
| ポート | :1802 | オプション | 利用できる場合は同一である必要があります。 |
| パス | /login | オプション | 同じ文字列で開始する必要があります。 |
| アンカー | #yoursite | オプション | 同一である必要があります。 |
| クエリパラメーター | ?yoursite=bar&baz=buzz | オプション | クエリパラメーターの順序は変わる場合があります。 |