改善された新しいデバイスの動作検出

改善された新しいデバイスの動作検出では、HTTPクッキーを保存するブラウザがサポートされます。デバイスの動作検出は、ウェブブラウザや信頼できるアプリケーションから渡されるデータに基づきます。エンドユーザーのアクティビティや動作に基づいた組織の保護に関する詳細は、セキュリティ用動作検知をご覧ください。

有効にすると、改善された新しいデバイスの動作検出の情報がポリシー評価に組み込まれるため、ユーザーがMFAを要求されたり、サインオンを許可されるようになります。

注

Oktaは、新規デバイスでのサインオンに関して、ユーザーに追加のセキュリティを提供します。新規サインオンに関する通知メール機能で、新しいデバイスでのサインオンが検出されるとユーザーにメールが送信されます。一般的なセキュリティをご覧ください。

既知の制限

  • 改善された新しいデバイスの動作検出が組織で有効化されている場合、HTTPクッキーのないブラウザを使用するデバイスからのサインインアクティビティは、精度に制限があるため新しいデバイスとして処理されます。
  • 新しいサインオン通知は現時点で、新しいサインインに関するメール通知の送信時に改善された新しいデバイスの動作検出機能を使用しません。deviceTokenやブラウザクッキーを変更しても、新しいサインオンに関するメール通知がトリガーされない場合があります。

信頼できるアプリケーション

信頼できるアプリケーションでデバイスを特定することで、新規デバイス検出に役立てることができます。

  • 改善された新しいデバイスの動作検出が組織で有効化されている場合は、contextオブジェクトのdeviceTokenを使用して各デバイスの一意の識別子を送信できます。Authentication context(認証コンテキスト)オブジェクトをご覧ください。
    • 信頼できるアプリケーションから一意の識別子が送信されない場合、デバイスからのサインインアクティビティは新しいデバイスからのものとして識別されます。
  • 改善された新しいデバイスの動作検出が組織で有効化されていない場合には、X-DEVICE-FINGERPRINTヘッダーを使用して各デバイスの一意の識別子を送信できます。デバイスフィンガープリントを使用したプライマリ認証をご覧ください。

一意の識別子の生成方法については、デバイスフィンガープリントのベストプラクティスをご覧ください。

動作検知に関する注意

Oktaは以前、JavaScriptのフィンガープリントを使用して新しいデバイスを識別していました。改善された新しいデバイスの動作検出機能では、フィンガープリントを活用するすべての機能が以下の理由により廃止されています:

  • AppleやMozillaなどのウェブブラウザベンダーがブラウザのフィンガープリント精度を落としているため、ブラウザフィンガープリントに対応したブラウザでは、精度がベストエフォート型で保証されます。
  • 複数のデバイスから同じブラウザフィンガープリントが送信されることがあるため、ブラウザフィンガープリントは時間に伴い変化する場合があります。

そのため、Oktaは改善された新しいデバイスの動作検出を有効にして検出精度を改善することを推奨しています。

関連項目

セキュリティ用動作検知

ネットワーク・セキュリティ

セキュリティ・ポリシー

多要素認証