Okta Browser Plugin:セキュリティ機能
Okta Browser Pluginは、エンドユーザーの認証情報のセキュリティを強化するためにいくつかの機能を提供します。
SSL
プラグインではSSLを使用してOktaから認証情報を取得します。プラグインが必要なOkta管理対象アプリを起動すると、Okta Browser Pluginのポップアップバナーが表示され、Oktaに認証情報が自動的に入力されるようになります。承諾すると、プラグインはSSLを使用してOktaから認証情報を取得します。自動送信オプションを選択した場合、このプロセスは自動的に開始します。
認証プロセスはバックグラウンドで行われ、認証情報はアプリのサインオンページからアクセスできない場所に一時的に保存されます。プラグインは、認証情報をページに挿入して送信し、ページのリダイレクト後に削除することで、サインオンページを完了するプロセスをシミュレートしようとします。アプリのターゲットURLに応じて、HTTPSまたはHTTP接続が使用されます。
アプリを構成するときはHTTPSを使用します。
SSL証明書のピンニング(Internet Explorer)
Internet ExplorerのOkta Browser Pluginは、MiTM攻撃から保護するためにSSLピンニングをサポートしています。MiTM攻撃が成功すると、ユーザーの資格情報、セッション識別子、その他の機密情報がスニッフィングされる可能性があります。Internet Explorer向けOkta Browser Pluginは、SSLピン留めを使用して、以前に検証され信頼されたサーバー証明書のリストを維持(つまりピン留め)します。ユーザーがウェブサイトをブラウズすると、プラグインでサイトの証明書が取得され、信頼済みサーバー証明書のリストと比較されます。比較が失敗した場合、Oktaは*.okta.comおよび*.oktapreview.comへの接続を拒否し、ユーザーにOktaサポートに問い合わせるように求めます。
プラグインと連携するように環境を構成する(Internet Explorer)
企業がWebプロキシーを使用してSSL傍受を実行する場合、またはその他のデータ損失防止戦略を採用する場合、Internet Explorer向けOkta Browser Pluginと連携するように環境を構成する必要があります。
Internet Explorer向けOkta Browser Pluginを次のように構成します。
- Windowsレジストリーエディターで、[HKEY_CURRENT_USER\Software\AppDataLow\Software\Okta\IE Plugin]に移動します。
- SkipCertPinningという名前の新しいDWORD(32ビット)値を作成します。
- 値を1に設定します。
証明書のピンニングは、orgがSSLトラフィックを傍受するためにWebプロキシーを使用している場合にのみ無効にする必要があります。Oktaでは、他のシナリオでこれをオフにすることはお勧めしません。
URL文字列の一致
Okta Browser Pluginは、アプリのURLに含まれる文字列をチェックして、Oktaが持つそのアプリの統合情報に含まれる文字列と一致するかどうかを確認します。これにより、認証情報が正しいURLに送信されるようになります。
次の表は、プラグインが検索する文字列、文字列が必須かどうか、およびプラグインで想定される形式を示しています。
|
文字列 |
例 |
要件 |
備考 |
|---|---|---|---|
| プロトコル | https | 必須 | 同一である必要があります。 |
| ホスト | www.yoursite.com | 必須 | 同一である必要があります。 |
| ポート | :1802 | 任意 | 使用可能な場合は同一である必要があります。 |
| パス | /login | 任意 | 同じ文字列で始まる必要があります。 |
| アンカー | #yoursite | 任意 | 同一である必要があります。 |
| クエリパラメーター | ?yoursite=bar&baz=buzz | 任意 | クエリパラメーターの順序は異なる場合があります。 |