Configurer le plug-in Secure Access Monitor

Version en accès anticipé. Consultez la section Activer les fonctionnalités en libre-service. L'utilisation d'Okta for AI Agents est soumise aux Conditions d'Okta for AI Agents (accès anticipé) applicables.

La configuration du plug-in Secure Access Monitor (SAM) en tant qu'extension Chrome gérée lui permet de surveiller les autorisations OAuth non gérées et de transférer en toute sécurité les données collectées vers Okta Identity Security Posture Management (ISPM).

Avant de commencer

  • Vous avez le rôle de super administrateur.

  • Vous avez accès à la console d'administration Google.

  • Vous avez un tenant Okta ISPM actif (licence ISPM ou Okta IA).

  • Vos politiques de sécurité ne bloquent pas les autorisations OAuth.

  • Vos politiques de navigateur n'épinglent pas le navigateur à un certificat client spécifique. Cela empêche les utilisateurs de s'authentifier via Device Trust.

  • Vous savez que le certificat client du plug-in SAM interfère avec les flux de sélection manuelle des certificats (carte à puce, PIV et Device Trust ancienne génération).

  • Si vous utilisez une solution SASE, vous l'avez configurée pour exempter l'URL Okta (https://<org> .mtls.okta.com) de l'inspection TLS.

Configurer le navigateur Chrome

Configurez le certificat pour qu'il soit envoyé automatiquement au point de terminaison de données Okta.

  1. Connectez-vous à la console d'administration Google avec un compte administrateur.

  2. Suivez les étapes décrites dans Configurer le navigateur Chrome pour qu'il provisionne son propre certificat client.

    1. Approvisionnez l'autorité de certification Google et téléchargez-la.

    2. Configurez le paramètre des certificats client :
      AutoSelectCertificateForUrls : {"pattern": "https://<org>.mtls.okta.com", "filter": {"ISSUER": {"CN":"Chrome Enterprise CA"}}}.
      Remplacez <org> par le sous-domaine de votre org Okta.

Charger l'autorité de certification dans Okta Admin Console

Chargez l'AC que vous avez obtenue de la console d'administration Google dans Okta Admin Console. Ce certificat est requis pour le processus d'authentification du certificat client.

  1. Dans Okta Admin Console, accédez à Sécurité > Intégrations d'appareils.

  2. Cliquez sur l'onglet Autorité de certification.

  3. Cliquez sur Ajouter une autorité de certification.

  4. Pour Émettre un certificat pour, sélectionnez Plug-in Secure Access Monitor.

  5. Chargez la chaîne de certificats de l'AC. Le fichier doit être de type .pem.

Installer le plug-in

  1. Connectez-vous à la console d'administration Google.

  2. Suivez les étapes décrites dans Installer automatiquement des applications et des extensions pour installer le plug-in en utilisant l'ID d'extension suivant : galipinbbdandeicdicjbalcbpdbljjj.

  3. Ouvrez les paramètres du plug-in SAM et, dans le champ Règles relatives aux extensions, saisissez le JSON suivant :
    { "orgUrl": { "Value": "https://<org> .okta.com" } }.
    Remplacez <org> par le sous-domaine de votre org Okta.

Connecter les utilisateurs à des profils Chrome gérés

Pour que la configuration prenne effet, vos utilisateurs doivent se connecter à leurs profils Chrome gérés et à leur Okta End-User Dashboard en utilisant l'URL de votre org Okta.

Vérifier la configuration

Une fois le plug-in SAM configuré et déployé, les données sont transmises par les navigateurs des utilisateurs à Okta.

Pour vérifier la configuration, vérifiez que les données circulent vers Okta en consultant le tableau de bord ISPM. Il peut s'écouler jusqu'à sept jours pour que les données apparaissent dans la console ISPM. Pour plus d'informations, consultez Identifier les agents IA fantômes à l'aide d'autorisations OAuth.