Configurer le plug-in Secure Access Monitor

Version en accès anticipé. Consultez la section Activer les fonctionnalités en libre-service. L'utilisation d'Okta for AI Agents est soumise aux Conditions d'Okta for AI Agents (accès anticipé) applicables.

Le plug-in Secure Access Monitor (SAM) est une extension Chrome gérée. Configurez SAM pour surveiller les autorisations OAuth non gérées et de transférer en toute sécurité les données collectées vers Okta Identity Security Posture Management (ISPM).

Avant de commencer

  • Votre org Okta est connectée à Google Chrome Enterprise. Le plug-in SAM ne fonctionne que sur les navigateurs Chrome gérés. Voir Intégrer Okta à Chrome Enterprise

  • Vos navigateurs Chrome sont enrôlés dans Google Chrome Enterprise Core. Si ce n'est pas le cas, suivez les étapes dans Enrôler les navigateurs Chrome gérés par le cloud. Cela est requis pour approvisionner le CA Google. Les solutions MDM tierces seules sont insuffisantes. Les appareils Windows nécessitent des paramètres de registre supplémentaires ou une politique MDM pour terminer l'enrôlement.

  • Vous avez le rôle de super administrateur.

  • Vous avez accès à la console d'administration Google.

  • Vous avez un tenant Okta ISPM actif (licence ISPM ou Okta IA).

  • Vos politiques de sécurité ne bloquent pas les autorisations OAuth.

  • Vous savez que le certificat client du plug-in SAM interfère avec les flux de sélection manuelle des certificats (carte à puce, PIV Device Trust ancienne génération).

  • Si vous utilisez une solution SASE, vous l'avez configurée pour exempter l'URL Okta (https://<org> .mtls.okta.com) de l'inspection TLS.

Configurer le navigateur Chrome

Configurez le certificat pour qu'il soit envoyé automatiquement au point de terminaison de données Okta. Tout d'abord, approvisionnez et téléchargez l'autorité de certification Google. Ensuite, configurez les paramètres du certificat client.

Approvisionner et télécharger l'autorité de certification Google.

Approvisionnez et téléchargez l'autorité de certification Google. Pour plus d'informations, consultez Configurer le navigateur Chrome pour qu'il provisionne son propre certificat client (Étape 1 : approvisionner une AC Google).

  1. Connectez-vous à la console d'administration Google avec un compte administrateur.

  2. Dans la console d'administration Google, accédez à Navigateur Chrome > Connecteurs.

  3. Sélectionnez l'unité organisationnelle à laquelle vous souhaitez appliquer la configuration de l'autorité de certification Google.

  4. Sur la page Connecteurs, cliquez sur + Configuration d'un nouveau fournisseur.

    Si vous avez déjà une configuration de fournisseur en place, comme pour Okta Device Trust, créez l’AC Google en tant que configuration de fournisseur supplémentaire. Les deux peuvent être appliquées à la même unité organisationnelle.

  5. Dans le panneau Configurer un fournisseur, recherchez Autorité de certification Google et cliquez sur Configurer.

  6. Cliquez sur Approvisionner.

  7. Sur la page Connecteurs, cliquez sur Détails pour l'autorité de certification Google.

  8. Téléchargez GoogleCertificateAuthority.pem.

Configurer le paramètre du certificat client

Configurez le paramètre des certificats client. Pour obtenir plus d'informations, consultez Configurer le navigateur Chrome pour qu'il provisionne son propre certificat client (Étape 2 : Configurer le paramètre certificats client).

  1. Connectez-vous à la console d'administration Google avec un compte administrateur.

  2. Dans la console d'administration Google, accédez à navigateur Chrome > Paramètres.

  3. Sélectionnez l'unité d'organisationnelle appropriée.

  4. Dans l'onglet Paramètres de l'utilisateur et du navigateur, recherchez et cliquez sur Certificats client.

  5. Dans le champ Sélectionner automatiquement pour ces sites, entrez le suivant et remplacez <org> par votre sous-domaine Okta org : {"pattern": "https://<org>.mtls.okta.com", "filter": {"ISSUER": {"CN":"Chrome Enterprise CA"}}}.

    Si votre org est une Preview Org, remplacez <org>.mtls.okta.com par <org>.mtls.oktapreview.com.

  6. Pour vérifier que la politique a été appliquée, utilisez un navigateur Chrome géré et accédez à chrome://policy/. Localisez AutoSelectCertificateForUrls dans la liste des politiques et confirmez que votre entrée y figure.

Charger l'autorité de certification dans Okta Admin Console

Chargez l'AC que vous avez obtenue de la console d'administration Google dans Okta Admin Console. Ce certificat est requis pour le processus d'authentification du certificat client.

  1. Dans Okta Admin Console, accédez à Sécurité > Intégrations d'appareils.

  2. Cliquez sur l'onglet Autorité de certification.

  3. Cliquez sur Ajouter une autorité de certification.

  4. Pour Émettre un certificat pour, sélectionnez Plug-in Secure Access Monitor.

  5. Chargez la chaîne de certificats de l'AC. Le fichier doit être de type .pem.

Installer le plug-in

  1. Connectez-vous à la console d'administration Google.

  2. Accédez au navigateur Chrome > Applications et extensions.

  3. Cliquez sur l'onglet Utilisateurs et navigateurs.

  4. Sélectionnez votre unité organisationnelle Okta.

    Si vous souhaitez tester l'installation sur un sous-ensemble d'utilisateurs, créez un groupe ou une unité organisationnelle d'utilisateurs sélectionnés et choisissez-le à la place. Pour plus d'informations, consultez Groupes et Ajouter une unité organisationnelle.

  5. Cliquez sur l'icône + en bas à droite et sélectionnez Ajouter une application ou une extension Chrome par ID.

  6. Dans le champ ID de l'extension, saisissez l ID du plug-in SAM : corapinbbdandeicdicjbalcbpdbljjj.

  7. Cliquez sur Enregistrer.

  8. Ouvrez les paramètres du plug-in SAM.

  9. Remplacez Autoriser l'installation par Forcer l'installation.

  10. Dans le champ Règles relatives aux extensions, entrez le JSON suivant et remplacez <org> par votre sous-domaine Okta org : { "orgUrl": { "Value": "https://<org>.okta.com" } }.

  11. Cliquez sur ENREGISTRER.

Pour plus d'informations, consultez Installer automatiquement des applications et des extensions.

Connecter les utilisateurs à des profils Chrome gérés

Pour que la configuration prenne effet, vos utilisateurs finaux doivent se connecter à leurs profils Chrome gérés et à leur Okta End-User Dashboard en utilisant l'URL de votre org Okta.

Vérifier la configuration

Une fois le plug-in SAM configuré et déployé, les données sont transmises par les navigateurs des utilisateurs à Okta.

Pour vérifier la configuration, vérifiez que les données circulent vers Okta en consultant le tableau de bord ISPM. Il peut s'écouler jusqu'à sept jours pour que les données apparaissent dans la console ISPM. Pour plus d'informations, consultez Identifier les agents IA fantômes à l'aide d'autorisations OAuth.