侵害された資格情報の保護
この機能は、Okta環境における漏洩した資格情報の検知、および修復のカスタマイズに役立ちます。
Oktaでは、org内のユーザー名とパスワードの組み合わせに対して公開されているデータ侵害のサードパーティリストを監視します。ユーザーのサインイン時に、Oktaは、そのユーザーの資格情報がリストに記載されているかどうかを確認します。リストにある場合、Oktaはパスワードポリシーの構成に従ってパスワードを期限切れにし、関連するすべてのOktaセッションを終了します。Oktaではsecurity.breached_credential.detectedイベントがシステムログに記録され、ユーザーは次回のサインイン時にパスワードをリセットする必要があります。
この機能は、OktaおよびActive Directory認証に使用されるパスワードポリシーでのみ使用できます。LDAP認証プロバイダーに使用されるパスワードポリシーでは使用できません。
仕組み
資格情報侵害保護は、パスワードポリシーのセキュリティ設定です。
パスワードAuthenticatorは、Oktaユーザーに対してデフォルトで有効になっており、そのポリシーによって、複雑さ、有効期間、最小の長さ、ロックアウト設定などのパスワード要件が制御されます。漏洩した資格情報の保護機能は、このポリシーに[Password Security(パスワードセキュリティ)]オプションを追加して、漏洩した資格情報が検知された場合にパスワードを早期に期限切れにしたり、Okta Workflowsからカスタムアクションを実行したりできるようにします。Oktaは、[Password Security(パスワードセキュリティ)]設定のテストに利用できるサンプル資格情報を提供します。
この機能を構成すると、Oktaは、その資格情報がサインインに使用されるたびに検出と修復を開始します。チェックはサインインリクエスト時とセルフサービスのパスワードリセット時に行われるため、漏洩した資格情報を過去に遡ってチェックすることはありません。