強化された新規デバイス行動検知
強化された新規デバイス行動検知機能では、HTTP Cookieを保存するブラウザーをサポートします。デバイス行動検知は、Webブラウザーと信頼できるアプリケーションから渡されたデータに基づいています。エンドユーザーのアクティビティと行動に基づくorgのセキュリティ保護の詳細については、「行動検知と評価」を参照してください。
この機能を有効にすると、強化された新規デバイス行動検知情報がポリシー評価の一部となり、ユーザーはMFAの入力を求められるか、サインオンを許可されることになります。
Oktaは、新規デバイスでのサインオンに関して、ユーザーに追加のセキュリティ機能を提供します。新規サインオンに関する通知メール機能により、新規デバイスでのサインオンが検出されると、ユーザーにメールが送信されます。「一般的なセキュリティ」を参照してください。
既知の制限
- 強化された新規デバイス行動検知機能がorgで有効になっている場合、HTTP Cookieのないブラウザーを使用したデバイスからのサインインアクティビティは、精度が制限された新規デバイスとして処理されます。
- 現在、新規サインオン通知では、新規サインインに関するメール通知を送信する際、強化された新規デバイス行動検知機能は使用されません。deviceTokenまたはブラウザーのCookieを変更した場合、新規サインオンのメール通知がトリガーされない可能性があります。
信頼できるアプリケーション
信頼できるアプリケーションは、新規デバイス検知の一環としてデバイスを識別します。
- 強化された新規デバイス行動検知機能がorgで有効になっている場合は、コンテキストオブジェクトのdeviceTokenを使用して、各デバイスに一意の識別子を送信できます。「認証コンテキストオブジェクト」を参照してください。
- 信頼できるアプリケーションによって一意の識別子が送信されない場合、デバイスからのサインインアクティビティは新規デバイスとして識別されます。
-
強化された新規デバイス行動検知機能が組織で有効になっていない場合は、X-DEVICE-FINGERPRINTヘッダーを使用して各デバイスに一意の識別子を送信できます。「デバイスフィンガープリントを使用したプライマリ認証」を参照してください。
一意の識別子を生成する方法については、「デバイスフィンガープリントのベストプラクティス」を参照してください。
デバイス検知に関する注意
以前、OktaはJavaScriptのフィンガープリントを使用して新規デバイスを識別していました。強化された新規デバイス行動検知機能では、フィンガープリントを活用するすべての機能が以下の理由により廃止されました。
- AppleやMozillaなどのWebブラウザーベンダーのブラウザーではフィンガープリントの精度が低下するため、ブラウザーフィンガープリントに対応するブラウザーでは精度がベストエフォート型で保証される。
-
同じブラウザーフィンガープリントが複数のデバイスから送信される場合があるため、ブラウザーフィンガープリントが時間とともに変化する可能性がある。
そのため、Oktaでは、強化された新規デバイス行動検知を有効にして検知精度を改善することを推奨しています。