一般的なセキュリティー

ユーザー通知メール、ユーザーによる列挙の防止、ThreatInsightなど、さまざまなグローバル組織セキュリティー設定を構成します。

管理コンソールでこれらの設定にアクセスするには、[セキュリティー] > [一般]に移動します。

セキュリティー通知メール

[セキュリティー] > [一般] > [セキュリティー通知メール]に移動して、エンド・ユーザー向けの通知メールを構成します。

メール通知とテンプレートのカスタマイズの詳細については、メール・テンプレートをカスタマイズするを参照してください。

新規サインオンに関する通知メール エンド・ユーザーが新規または認識されていないクライアントからサインインすると、エンド・ユーザーにメール通知が送信されます。このメールには、認証の時間と場所に加えて、サインインに使用したWebブラウザーやオペレーティング・システムなどのユーザー・サインオンの詳細が含まれています。 新規クライアントの識別に関する制限の詳細については、 を参照してください。

: 新規組織の場合、この機能はデフォルトで無効になっています。

詳細については、「エンド・ユーザーへのサインオン通知」を参照してください。

[オーセンティケーターの登録に関する通知メール] エンド・ユーザーまたは管理者がアカウントの新しいオーセンティケーターに登録すると、エンド・ユーザーに確認メールが送信されます。

: 新規組織の場合、この機能はデフォルトで有効になっています。

詳細については、「エンド・ユーザーへのオーセンティケーターの登録通知」を参照してください。

[オーセンティケーターのリセットに関する通知メール] エンド・ユーザーまたは管理者がアカウントのオーセンティケーターをリセットすると、エンド・ユーザーにメールが送信されます。

: 新規組織の場合、この機能はデフォルトで有効になっています。

詳細については、「エンド・ユーザーへのオーセンティケーターのリセット通知」を参照してください。


[パスワードの変更に関する通知メール] エンド・ユーザーは、アカウントのパスワードを変更またはリセットすると、メール通知を受信します。このメールには、パスワード・リセットの日時や場所など、パスワード・リセットの詳細が含まれています。

注:

  • 管理者が一時パスワードを設定した場合、エンド・ユーザーは一時パスワードからパスワードを変更した後にのみメール通知を受信します。
  • 委任認証(DelAuth)を使用したパスワード・リセットのエンド・ユーザー通知はサポートされていません。
  • ユーザーが非アクティブの場合、エンド・ユーザーにメール通知は送信されません。

詳細については、「エンド・ユーザーへのパスワードの変更通知」を参照してください。

[メールによる不審なアクティビティーのレポート] 不審なアクティビティーのレポートでは、アカウントのアクティビティー・メール通知から未認識のアクティビティーをレポートするオプションをエンド・ユーザーに提供します。「不審なアクティビティーのレポート」を参照してください。

新規サインオンに関する通知メール

新しいサインオンの通知メールは、オーセンティケーターなどのほかのセキュリティー機能を補完するものであり、代替として機能させるべきではありません。ほとんどのシナリオでクライアントは簡単かつ正確に識別されますが、いくつかの制限があります。

新しいデバイスのサインインに関する通知メールは、エンド・ユーザーのブラウザーのCookieまたはフィンガープリントに基づいて新しいクライアントが識別されるとトリガーされます。

次の1つ以上のシナリオでは、クライアントは新規と見なされます。

  • 新しいオペレーティング・システムのタイプまたはバージョン
  • 新規または更新されたアプリケーション
  • 認識されないブラウザーまたはオペレーティング・システム(通知メールでは不明と表示されます)

エンド・ユーザーが任意のブラウザー・タイプおよびOkta FastPassを使用してOktaにサインインする場合、クライアントは新規とは見なされません。

組織で新規デバイス挙動検知が向上している場合、サインオン挙動評価でデバイスが既知であると判断されると、メール通知は送信されません。新しいデバイスの挙動検知には以下が必要です。

  • 強化された新規デバイス挙動検知が有効になっています。
  • パスワード/IDP/と設定されているプライマリー要素、またはアプリのサインオン・ポリシー・ルールで許可された任意の要素で構成されたサインオン・ポリシー。

認証が認識されない場合、エンド・ユーザーはすぐに管理者に連絡してアカウントのアクティビティーを調査する必要があります。管理者は、ユーザーのセッションの終了、ユーザーのアカウントのロック、オーセンティケーターの追加などのアクションを実行して、セキュリティーを向上させることができます。

制限事項

識別において課題となる制限事項がいくつかあります。新しいIPアドレスや新しい場所などのほかの識別子に加えてメール通知を有効にすると、エンド・ユーザーのアカウントで不審なアクティビティーを特定する際の精度が向上します。

新規クライアントを識別するための現在の制限事項は次のとおりです。

  • サインインに成功すると、デバイスのフィンガープリントがキャプチャされます。
  • ユーザーのオペレーティング・システムまたはブラウザーに変更があると、新しいデバイス通知が生成される場合があります。
  • Okta以外のIDプロバイダーによって開始されたサインインでは、新しいデバイス通知は生成されません。
  • デバイスのフィンガープリントは、使用しているブラウザーに基づきます。エンド・ユーザーは、新しいブラウザー・タイプでサインインすると、新しいデバイス通知メールを受信します。
  • モバイル・サインインの場合、新しいデバイス通知メールは、サインインに使用されたデバイスではなく、新しいモバイル・アプリケーションの検出に基づいて送信されます。
  • 新しいデバイスの検出は常に完全に保証されるわけではありません。
  • エンド・ユーザーは、40日以内にアカウントにサインインしなかった場合、予期しない新規または不明なデバイス通知メールを受信することがあります。

エンド・ユーザー通知の詳細については、メール・テンプレートをカスタマイズするを参照してください。

CAPTCHA 統合

組織のセキュリティーを強化するためのオプションとして、OktaはCAPTCHAをサポートし、自動サインインの試行を防ぎます。hCaptchaまたはreCAPTCHA v2の2つのサービスのいずれかを統合できます。

Oktaでサポートされているベンダーの実装はどちらも表示されません。各ユーザーはサインイン時にバックグラウンドでリスク分析ソフトウェアを実行し、ユーザーがボットである可能性を判断します。このリスク分析は、サービスに対して構成した設定に基づいています。

CAPTCHAを使用するように組織を構成する前に、任意のベンダーにサインインするか、アカウントにサインアップしてから、次の手順に従います。

いずれかのサービスの構成時に、組織構成のサイト・キーと秘密キーを取得する必要があります。

重要な注意事項

reCAPTCHAまたはhCAPTCHAサービスを作成したら、ベンダーのサービス構成ページでドメインを指定してください。例:

  • Webアプリケーションがカスタマイズされたドメインmyapp.comおよびtestapp.comに基づいている場合、CAPTCHAサービスの各ドメインを指定する必要があります。
  • サインイン・ウィジェット(SIW)がOktaベースの場合、CAPTCHAサービスのドメイン・リストにokta.comを追加する必要があります。

OktaでCAPTCHAサービスを構成するには:

  1. 管理コンソールで、[セキュリティー] > に移動します [一般]
  2. [CAPTCHA統合]セクションで以下の設定を構成します。
  • [タイプ]:使用するCAPTCHAサービスを選択します。
  • [サイト・キー] – サービス構成からサイト・キーをコピーします。
  • [秘密キー]:サービス構成から秘密キーをコピーします。
  • [次に対してCAPTCHAを有効化]:CAPTCHAを使用する認証のタイプを1つ以上選択します。
    • [サインアップ]:ユーザーは最初の登録およびサインイン時にCAPTCHAに合格するよう求められます。
    • [パスワード・リセット]:ユーザーはパスワードをリセットするときにCAPTCHAに合格するよう求められます。
    • [サインオン]:ユーザーはサインイン時にCAPTCHAに合格するよう求められます。
  1. [保存]をクリックします。

組織の設定

[セキュリティー] > [一般] > [組織]に移動して、グローバルな組織設定を構成します。

サインイン時にユーザーを記憶する

この設定により、サインイン・ウィジェットの[ユーザー名]フィールドが事前に入力されます。 エンド・ユーザーは引き続き認証が必要です。最近の多要素認証オーセンティケーターや以前のセッションは記憶されません。
アクティベーション・メールは以下に有効: エンド・ユーザーに送信されるアカウント・アクティベーション・メールのリンクの有効期限を設定します。メール通知の詳細については、メール・テンプレートをカスタマイズするを参照してください。

ユーザーによる列挙の防止

この機能を有効にすると、ユーザー・アカウントを特定してオーセンティケーターを登録しようとする攻撃者から組織を保護できます。組織で認証が許可されている場合は、デバイスから新しいサインインを試行するたびにパスワードとメールが表示されるようになります。

ユーザーが存在しないかサインインできない場合は、オーセンティケーター検証エラーが送信されます。

Oktaへのエンド・ユーザーのサインイン試行の詳細については、「新規ユーザーの登録、アクティベーション、サインイン・エクスペリエンス」を参照してください。

Okta ThreatInsight

Okta ThreatInsightはOkta顧客ベース全体のデータを集約し、このデータを使用して、認証情報ベースの攻撃を試みる悪意のあるIPアドレスを検出します。

悪用を防ぐため、Okta ThreatInsightは無料の試用版では機能を制限して動作しています。完全な機能を搭載したOkta ThreatInsightが必要な場合は、Oktaサポートまでご連絡ください。

この機能の詳細については、「Okta ThreatInsight」を参照してください。

関連項目

Oktaのサインオン・ポリシー

HealthInsight