アプリのサインオンポリシー
アプリサインオンポリシーは、アプリケーションへのアクセスを許可または制限します。[App Sign On Rule(アプリサインオンルール)]ダイアログ内のすべてのクライアントオプションはデフォルトで事前選択されています。アプリへのより詳細なアクセスを構成するには、次の事項に基づいて1つ以上の優先度が設定されたルールを作成するときに、条件を選択的に適用します。
- 誰がユーザーか、またはどのグループに属しているか
- 対象者がネットワークに接続しているか、接続していないか、定義されたネットワークゾーンに属しているか
- 対象者のデバイスで実行されているクライアントのタイプ(Office 365アプリのみ)
- 対象者のモバイルまたはデスクトップデバイスのプラットフォーム
- 対象者のデバイスが信頼されているかどうか
User-Agentについて知っておくべき重要事項
Oktaのクライアントアクセスポリシー(CAP)を使用すると、クライアントタイプとデバイスプラットフォームに基づいて、エンタープライズアプリへのアクセスを管理できます。Okta CAPでは、ユーザーのブラウザーから送信されるUser-Agentリクエストヘッダーに含まれる情報が評価されます。User-Agentは悪意のあるアクターによってなりすまされる可能性があり、そのようなアクターはおそらく、ポリシー内で最も制限の少ないCAPルールを標的にするという点に注意してください。このような理由から、CAPルールは会社のセキュリティ・ニーズを満たすようにしてください。また、次のベストプラクティスで説明されているように、CAPを作成し、多要素認証またはDevice Trustを要求する場合は、許可リストのアプローチの使用を検討してください。
- アプリへのアクセスを許可するクライアントタイプ、デバイスプラットフォーム、および信頼状態の組み合わせを指定する、1つ以上のルールから成る許可リストを実装します。
- アプリへのアクセスに、Device Trustまたは多要素認証を要求します。
- 前述のルールでCAPのいずれにも一致しないものへのアクセスを拒否する最終的なキャッチオールルールを含めます。
MFAとレガシープロトコル
POPやIMAPなどのレガシープロトコルは、OktaサインインにMFAが構成されている場合でも、 MFAをサポートしません。
アプリへの認証の安全性を確保するため、Oktaでは以下を評価することを強くお勧めします。
- Microsoft Office 365アプリケーションでのレガシープロトコルの使用、および必要に応じてそれらを無効にするかどうか
- セキュリティを向上させるためにMicrosoft Office 365テナントでモダン認証を有効にするかどうか