Okta Browser Plugin:セキュリティー機能
Okta Browser Pluginは、エンド・ユーザーの認証情報のセキュリティーを強化するためにいくつかの機能を提供します。
SSL
プラグインではSSLを使用してOktaから認証情報を取得します。プラグインが必要なOkta管理対象アプリを起動すると、Okta Browser Pluginのポップアップ・バナーが表示され、Oktaに認証情報が自動的に入力されるようになります。承諾すると、プラグインはSSLを使用してOktaから認証情報を取得します。[自動送信]オプションを選択している場合、このプロセスは自動的に行われます。
認証プロセスはバックグラウンドで行われ、認証情報はアプリのサインオン・ページからアクセスできない場所に一時的に保存されます。プラグインは、認証情報をページに挿入して送信し、ページのリダイレクト後に削除することで、サインオン・ページを完了するプロセスをシミュレートしようとします。アプリのターゲットURLに応じて、HTTPSまたはHTTP接続が使用されます。
アプリを構成するときはHTTPSを使用します。
SSL証明書のピンニング(Internet Explorer)
Internet ExplorerのOkta Browser Pluginは、MiTM攻撃から保護するためにSSLピンニングをサポートしています。MiTM攻撃が成功すると、ユーザーの資格情報、セッションID、その他の機密情報が盗聴される可能性があります。Internet Explorer向けOkta Browser Pluginは、SSLピンニングを使用して、以前に検証され信頼されたサーバー証明書のリストを維持(つまりピンニング)します。ユーザーがWebサイトを参照すると、プラグインでサイトの証明書が取得され、信頼できるサーバー証明書のリストと比較されます。比較が失敗した場合、Oktaは*.okta.comおよび*.oktapreview.comへの接続を拒否し、ユーザーにOktaサポートに連絡するように求めます。
プラグインと連携するように環境を構成する(Internet Explorer)
企業がWebプロキシーを使用してSSL傍受を実行する場合、またはその他のデータ損失防止戦略を採用する場合、Internet Explorer向けOkta Browser Pluginと連携するように環境を構成する必要があります。
Internet Explorer向けOkta Browser Pluginを次のように構成します。
- Windowsレジストリー・エディターで、
[HKEY_CURRENT_USER\Software\AppDataLow\Software\Okta\IE Plugin]に移動します。 SkipCertPinningという名前の新しいDWORD(32ビット)値を作成します。- 値を
[1]に設定します。
証明書のピンニングは、組織がSSLトラフィックを傍受するためにWebプロキシーを使用している場合にのみ無効にする必要があります。Oktaでは、他のシナリオでこれをオフにすることはお勧めしません。
URL文字列の一致
Okta Browser Pluginは、アプリのURLに含まれる文字列をチェックして、Oktaが持つそのアプリの統合情報に含まれる文字列と一致するかどうかを確認します。これにより、認証情報が正しいURLに送信されるようになります。
次の表は、プラグインが検索する文字列、文字列が必須かどうか、およびプラグインで想定される形式を示しています。
| 文字列 | 例 | 必要条件 | 注 |
|---|---|---|---|
| protocol | https | 必須 | 同一である必要があります。 |
| host | www.yoursite.com | 必須 | 同一である必要があります。 |
| port | :1802 | オプション | 使用可能な場合は同一である必要があります。 |
| path | /login | オプション | 同じ文字列で始まる必要があります。 |
| anchor | #yoursite | オプション | 同一である必要があります。 |
| クエリ・パラメーター | ?yoursite=bar&baz=buzz | オプション | クエリ・パラメーターの順序は異なる場合があります。 |