Secure Access Monitorプラグインを構成する
早期アクセスリリース。Okta for AI Agentsの使用には、Okta for AI Agents利用規約(早期アクセス)が適用されます。
Secure Access Monitor(SAM)プラグインを管理対象のChrome拡張機能として構成すると、管理対象外のOAuth付与を監視し、収集されたデータをOkta Identity Security Posture Management(ISPM)に安全に転送できます。
開始する前の確認事項
-
スーパー管理者のロールがある。
-
Google管理コンソールへのアクセス権がある。
-
アクティブなOkta ISPMテナント(ISPMまたはOkta AIライセンス)がある。
-
セキュリティポリシーがOAuth付与をブロックしていない。
-
ブラウザーポリシーによって、ブラウザーが特定のクライアント証明書に固定されていない。これにより、ユーザーはDevice Trustを通じて認証されない。
-
SAMプラグインのクライアント証明書が手動の証明書選択フロー(スマートカード、PIV、レガシーDevice Trust)の妨げになっていることを認識している。
-
SASEソリューションを使用する場合、Okta URL(https://<org>.mtls.okta.com)をTLSインスペクションから除外されるように構成している。
Chromeブラウザーを構成する
証明書がOktaデータエンドポイントに自動的に送信されるように構成します。
-
管理者アカウントでGoogle管理コンソールにサインインします。
-
独自のクライアント証明書をプロビジョニングするようChromeブラウザーを構成するの手順に従います。
-
Google認証局をプロビジョニングしてダウンロードします。
-
クライアント証明書の設定を構成します:
AutoSelectCertificateForUrls : {"pattern": "https://<org>.mtls.okta.com", "filter": {"ISSUER": {"CN":"Chrome Enterprise CA"}}}
<org>をOkta orgのサブドメインに置き換えます。
-
Okta Admin Consoleに認証局をアップロードする
Google管理コンソールから取得したCAをOkta Admin Consoleにアップロードします。この証明書はクライアント証明書の認証プロセスで必要となります。
-
Okta Admin Consoleで、[Security(セキュリティ)] > [Device integrations(デバイス統合)]に移動します。
-
[Certificate authority(認証局)]タブをクリックします。
-
[Add certificate authority(認証局を追加)]をクリックします。
-
[Issue certificate to(証明書の発行先)]で、[Secure Access Monitor plugin(Secure Access Monitorプラグイン)]を選択します。
-
CA証明書チェーンをアップロードします。ファイルタイプは.pemにしてください。
プラグインをインストールする
-
Google管理コンソールにサインインします。
-
アプリと拡張機能を自動的にインストールするの手順に従って、拡張機能IDのgalipinbbdandeicdicjbalcbpdbljjjを使用してプラグインをインストールします。
-
SAMプラグイン設定を開き、[Policy for extensions(拡張機能のポリシー)]フィールドに次のJSONを入力します:
{ "orgUrl": { "Value": "https://<org>.okta.com" } }
<org>をOkta orgのサブドメインに置き換えます。
管理対象のChromeプロファイルにユーザーをサインインする
構成を有効にするには、ユーザーがOkta orgのURLを使用して、管理対象のChromeプロファイルとOkta End-User Dashboardにサインイン必要があります。
構成を確認する
SAMプラグインを構成してデプロイすると、ユーザーのブラウザーからOktaにデータが送られるようになります。
構成を確認するには、ISPMダッシュボードをチェックしてデータがOktaに送られていることを確認します。ISPMコンソールにデータが表示されるまで最大7日かかる場合があります。詳細については、「OAuth付与を使用するシャドーAIエージェント特定する」を参照してください。