Configurer le plug-in Secure Access Monitor

Le plug-in Secure Access Monitor (SAM) est une extension Chrome gérée. Configurez SAM pour surveiller les autorisations OAuth non gérées et de transférer en toute sécurité les données collectées vers Okta Identity Security Posture Management (ISPM).

Avant de commencer

• Votre org Okta est connectée à Google Chrome Enterprise. Le plug-in SAM ne fonctionne que sur les navigateurs Chrome gérés. Voir Intégrer Okta à Chrome Enterprise

• Vos navigateurs Chrome sont enrôlés dans Google Chrome Enterprise Core. Si ce n'est pas le cas, suivez les étapes dans Enrôler les navigateurs Chrome gérés par le cloud. Cela est requis pour approvisionner le CA Google. Les solutions MDM tierces seules sont insuffisantes. Les appareils Windows nécessitent des paramètres de registre supplémentaires ou une politique MDM pour terminer l'enrôlement.

• Vous avez le rôle de super administrateur.

• Vous avez accès à la console d'administration Google.

• Vous avez un tenant Okta ISPM actif (licence ISPM ou Okta IA).

• Vos politiques de sécurité ne bloquent pas les autorisations OAuth.

• Vous savez que le certificat client du plug-in SAM interfère avec les flux de sélection manuelle des certificats (carte à puce, PIV Device Trust ancienne génération).

• Si vous utilisez une solution SASE, vous l'avez configurée pour exempter l'URL Okta (https://<org> .mtls.okta.com) de l'inspection TLS.

• Vos politiques de navigateur n'épinglent pas le navigateur à un certificat client spécifique. Cela empêche les utilisateurs de s'authentifier via Device Trust.

Configurer le navigateur Chrome

Configurez le certificat pour qu'il soit envoyé automatiquement au point de terminaison de données Okta. Tout d'abord, approvisionnez et téléchargez l'autorité de certification Google. Ensuite, configurez les paramètres du certificat client.

Approvisionner et télécharger l'autorité de certification Google.

Approvisionnez et téléchargez l'autorité de certification Google. Pour plus d'informations, consultez Configurer le navigateur Chrome pour qu'il provisionne son propre certificat client (Étape 1 : approvisionner une AC Google).

1. Connectez-vous à la console d'administration Google avec un compte administrateur.

2. Dans l'Admin Console Google, accédez à Navigateur ChromeConnecteurs.

3. Sélectionnez l'unité organisationnelle à laquelle vous souhaitez appliquer la configuration de l'autorité de certification Google.

4. Sur la page Connecteurs, cliquez sur + Configuration d'un nouveau fournisseur.

   Si vous avez déjà une configuration de fournisseur en place, comme pour Okta Device Trust, créez l’AC Google en tant que configuration de fournisseur supplémentaire. Les deux peuvent être appliquées à la même unité organisationnelle.

5. Dans le panneau Configurer un fournisseur, recherchez Autorité de certification Google et cliquez sur Configurer.

6. Cliquez sur Approvisionner.

7. Sur la page Connecteurs, cliquez sur Détails pour l'autorité de certification Google.

8. Téléchargez GoogleCertificateAuthority.pem.

Configurer le paramètre du certificat client

Configurez le paramètre des certificats client. Pour obtenir plus d'informations, consultez Configurer le navigateur Chrome pour qu'il provisionne son propre certificat client (Étape 2 : Configurer le paramètre certificats client).

1. Connectez-vous à la console d'administration Google avec un compte administrateur.

2. Dans l'Admin Console Google, accédez à Navigateur ChromeParamètres.

3. Sélectionnez l'unité d'organisationnelle appropriée.

4. Dans l'onglet Paramètres de l'utilisateur et du navigateur, recherchez et cliquez sur Certificats client.

5. Dans le champ Sélectionner automatiquement pour ces sites, entrez le suivant et remplacez <org> par votre sous-domaine Okta org : {"pattern": "https://<org>.mtls.okta.com", "filter": {"ISSUER": {"CN":"Chrome Enterprise CA"}}}.

   Si votre org est une Preview Org, remplacez <org>.mtls.okta.com par <org>.mtls.oktapreview.com.

6. Pour vérifier que la politique a été appliquée, utilisez un navigateur Chrome géré et accédez à chrome://policy/. Localisez AutoSelectCertificateForUrls dans la liste des politiques et confirmez que votre entrée y figure.

Charger l'autorité de certification dans Okta Admin Console

Chargez l'AC que vous avez obtenue de la console d'administration Google dans Okta Admin Console. Ce certificat est requis pour le processus d'authentification du certificat client.

1. Dans Okta Admin Console, accédez à Sécurité > Intégrations d'appareils.

2. Cliquez sur l'onglet Autorité de certification.

3. Cliquez sur Ajouter une autorité de certification.

4. Pour Émettre un certificat pour, sélectionnez Plug-in Secure Access Monitor.

5. Chargez la chaîne de certificats de l'AC. Le fichier doit être de type .pem.

Installer le plug-in

1. Connectez-vous à la console d'administration Google.

2. Accédez au navigateur Chrome > Applications et extensions.

3. Cliquez sur l'onglet Utilisateurs et navigateurs.

4. Sélectionnez votre unité organisationnelle Okta.

   Si vous souhaitez tester l'installation sur un sous-ensemble d'utilisateurs, créez un groupe ou une unité organisationnelle d'utilisateurs sélectionnés et choisissez-le à la place. Pour plus d'informations, consultez Groupes et Ajouter une unité organisationnelle.

5. Cliquez sur l'icône + en bas à droite et sélectionnez Ajouter une application ou une extension Chrome par ID.

6. Dans le champ ID de l'extension, saisissez l ID du plug-in SAM : corapinbbdandeicdicjbalcbpdbljjj.

7. Cliquez sur Enregistrer. L'extension s'affiche désormais dans vos applications et extensions.

8. Cliquez sur l'extension Secure Access Monitor pour ouvrir le panneau des paramètres.

9. Remplacez Autoriser l'installation par Forcer l'installation.

10. Dans le champ Règles relatives aux extensions, entrez le JSON suivant et remplacez <org> par votre sous-domaine Okta org : { "orgUrl": { "Value": "https://<org>.okta.com" } }.

11. Cliquez sur ENREGISTRER.

Pour plus d'informations, consultez Installer automatiquement des applications et des extensions.

Connecter les utilisateurs à des profils Chrome gérés

Pour que la configuration prenne effet, vos utilisateurs finaux doivent se connecter à leurs profils Chrome gérés et à leur Okta End-User Dashboard en utilisant l'URL de votre org Okta.

Vérifier l'installation

Pour vérifier que le plug-in SAM est correctement installé et qu'il capture les événements OAuth, utilisez les outils de développement Chrome.

Vérifier le stockage des extensions

1. Dans votre navigateur Chrome géré, accédez à chrome://extensions.

2. Activer le mode Développeur.

3. Localisez l'extension Secure Access Monitor et cliquez sur service worker.

4. Dans la fenêtre DevTools, cliquez sur l'onglet Application.

5. Dans le menu de navigation, sélectionnez StockageStockage des extensions.

6. Vérifiez les champs du tableau suivant.

Champ	Description	Valeur attendue
userInfo	L'ancre d'identité pour le plug-in. Contient le browserOktaUserId et l'URL de l'org Okta associée.	Rempli avec un browserOktaUserId et un orgId valides. Si cette option est vide, l'utilisateur ne s'est pas connecté au Okta End-User Dashboard.
pendingOauthEvents	La file d'attente locale des tentatives d'autorisation OAuth capturées.	Rempli après l'initiation d'un flux d'autorisation OAuth par un utilisateur. Effacé après que le plug-in a réussi à transmettre les événements à Okta (HTTP 202 accepté).
Urlorg	L'URL du Tenant Okta configurée dans l'administrateur Google.	Correspond à https://<org>.okta.com.

Cycle de vie de l'événement OAuth SAM

Le plug-in SAM utilise un modèle de collecte de données collect-store-flush. Lorsqu'un utilisateur initie un flux OAuth, le plug-in SAM intercepte la requête et la stocke localement dans pendingOauthEvents. Les données restent dans cet état en attente jusqu'à ce qu'un envoi par lot soit déclenché.

Un envoi par lot est déclenché lorsque l'une des conditions suivantes est remplie :

• 100 événements ont été collectés dans le stockage local.

• Un cycle de 24 heures se termine avec des événements antérieurs à 24 heures.

Vérifier l'enregistrement et la transmission d'un événement

Les appels JSON Web Key Set (JWKS) et de jeton ne sont pas déclenchés immédiatement après l'installation. Ces flux d'authentification sont initiés uniquement lors d'un événement d'envoi de lots.

Après un envoi par lots, confirmez que l'enregistrement et la transmission ont bien été effectués.

1. Dans la fenêtre DevTools, cliquez sur l'onglet Application.

2. Dans le menu de navigation, sélectionnez Stockage > Stockage des extensions > Local.

3. Vérifiez les clés de stockage dans le tableau suivant.

Clé de stockage	Valeur attendue	Description
jwkRegisterResp	Objet présent	L'enregistrement de JWKS avec Okta a bien été effectué.
authStatus	TOKEN_OK	Un jeton d'accès valide a été obtenu depuis l'arrière-plan.
accessToken	Chaîne de jetons présente	Le plug-in est entièrement authentifié et prêt à transmettre.
pendingOauthEvents	[] (tableau vide)	Tous les événements mis en file d'attente localement ont été vidés vers Okta.

Vous pouvez également confirmer l'envoi par lots dans l'onglet Réseau de la fenêtre DevTools. Un envoi par lot réussi produit la séquence d'appels suivante :

1. POST /jwks : le plug-in enregistre sa clé publique.

2. POST /token : le plug-in échange son enregistrement contre un jeton d'accès.

3. POST /events: le plug-in transmet la charge utile de télémétrie (renvoie HTTP 202 accepté).

Consulter le tableau de bord ISPM

Une fois le plug-in SAM configuré et déployé, les données sont transmises par le navigateur de l'utilisateur final à Okta.

Pour vérifier la configuration, vérifiez que les données circulent vers Okta en consultant le tableau de bord ISPM d'Okta. Il peut s'écouler jusqu'à deux jours pour que les données apparaissent dans la console ISPM. Consultez Découvrez les agents IA fantômes à l'aide du plug-in SAM.