強化された新規デバイス挙動検知
強化された新規デバイス挙動検知機能は、HTTP Cookieを保存するブラウザーをサポートします。デバイス挙動検知は、Webブラウザーと信頼できるアプリケーションから渡されたデータに基づいています。エンド・ユーザーのアクティビティーと挙動に基づく組織のセキュリティー保護の詳細については、挙動検知を参照してください。
この機能を有効にすると、強化された新規デバイス挙動検知情報がポリシー評価の一部となり、ユーザーはMFAの入力を求められるか、サインオンを許可されることになります。
注
Oktaは、新規デバイスのサインオンのためにユーザーに追加のセキュリティー機能を提供します。新規サインオン通知メール機能は、新規デバイスのサインオンを検出すると、ユーザーにメールを送信します。一般的なセキュリティーを参照してください。
既知の制限
- 強化された新規デバイス挙動検知機能が組織で有効になっている場合、HTTP Cookieなしでブラウザーを使用したデバイスからのサインイン・アクティビティーは、精度が制限された新規デバイスとして扱われます。
- 現在、新規サインオン通知では、新規サインインのメール通知を送信する際、強化された新規デバイス挙動検知機能は使用されません。
deviceTokenまたはブラウザーのCookieを変更した場合、新規サインオンのメール通知がトリガーされない可能性があります。
信頼できるアプリケーション
信頼できるアプリケーションは、新規デバイス検知の一環としてデバイスを識別します。
- 強化された新規デバイス挙動検知機能が組織で有効になっている場合は、コンテキスト・オブジェクトの
deviceTokenを使用して、各デバイスに一意の識別子を送信できます。「認証コンテキスト・オブジェクト」を参照してください。- 信頼できるアプリケーションによって一意の識別子が送信されない場合、デバイスからのサインイン・アクティビティーは新規デバイスとして識別されます。
-
強化された新規デバイス挙動検知機能が組織で有効になっていない場合は、
X-DEVICE-FINGERPRINTヘッダーを使用して各デバイスに一意の識別子を送信できます。「デバイス・フィンガープリントを使用したプライマリー認証」を参照してください。
一意の識別子を生成する方法については、「デバイス・フィンガープリントのベスト・プラクティス」を参照してください。
デバイス検知に関する注意
以前、OktaはJavaScriptフィンガープリントを使用して新規デバイスを識別していました。強化された新規デバイス挙動検知機能の一環として、次の基準に基づき、フィンガープリントへの依存が廃止されました。
- AppleやMozillaなどのWebブラウザー・ベンダーのブラウザーではフィンガープリントの精度が低下するため、ブラウザー・フィンガープリントのブラウザー・サポートではベスト・エフォートの精度のみが提供されます。
-
同じブラウザー・フィンガープリントが複数のデバイスから送信される場合があるため、ブラウザー・フィンガープリントは時間とともに変化する可能性があります。
そのため、Oktaでは、より正確な検知のために、強化された新規デバイス挙動検知を有効にすることをお勧めします。