強化された新規デバイス振る舞い検知
強化された新規デバイス振る舞い検知機能は、ユーザーが新しいデバイスからサインインしていることを検知するメカニズムです。
たとえば、ユーザーがOrganizationから新しいラップトップを受け取り、そのラップトップからOktaにサインインすると、Oktaは以前にこのデバイスがOktaへのサインインに使用されていないことを認識し、このデバイスを新規デバイスとして登録します。
この機能は、ユーザーがOktaと信頼できるアプリケーションへのサインインに使用したブラウザーのHTTP Cookieのデータを分析し、新規デバイスに関するデータを提供します。ポリシーは、このデータを評価し、ユーザーに多要素認証を(MFA)を求める必要があるか、MFAなしでのサインインを許可するかを判断します。
この機能を有効にするには、アカウント担当者にお問い合わせください。
「振る舞い検知と評価」を参照してください。
既知の制限
- HTTP Cookieのないブラウザーを使用したデバイスからのサインインアクティビティは新規デバイスとして処理されますが、精度が制限されます。
- Oktaは、強化された新規デバイス振る舞い検知機能からのデータを、新規サインインのメール通知を送信するタイミングを判断するためには使用しません。また、deviceTokenまたはブラウザーのCookieを変更した場合、新規サインオンのメール通知がトリガーされない可能性があります。「一般的なセキュリティ」と「エンドユーザー向けのサインイン通知」の「新規サインオンに関する通知メール」を参照してください。
信頼できるアプリケーション
信頼できるアプリケーションは、新規デバイス検知の一環としてデバイスを識別します。
- コンテキストオブジェクトのdeviceTokenを使用して、各デバイスに一意の識別子を送信できます。「認証コンテキストオブジェクト」を参照してください。
- 信頼できるアプリケーションによって一意の識別子が送信されない場合、サインインアクティビティは新規デバイスからのものとして識別されます。
-
強化された新規デバイス振る舞い検知機能がOrgで有効になっていない場合は、X-DEVICE-FINGERPRINTヘッダーを使用して各デバイスに一意の識別子を送信できます。「デバイスフィンガープリントを使用したプライマリ認証」を参照してください。
一意の識別子を生成する方法については、「デバイスフィンガープリントのベストプラクティス」を参照してください。
デバイス検知に関する注意
以前、OktaはJavaScriptのフィンガープリントを使用して新規デバイスを識別していました。強化された新規デバイス振る舞い検知機能は、ブラウザーのフィンガープリントに依存しなくなりました(生体認証で物理的なフィンガープリントを使用しません)。
- 一部のブラウザーベンダーはフィンガープリントの精度を落としている場合があるため、ブラウザーフィンガープリントに対応するブラウザーでは精度がベストエフォート型でしか保証されない。
-
同じブラウザーフィンガープリントが複数のデバイスから送信される場合があるため、ブラウザーフィンガープリントが時間とともに変化する可能性がある。
そのため、Oktaでは、強化された新規デバイス振る舞い検知を有効にして検知精度を改善することを推奨しています。